华为路由器配置命令汇总
VRP系统基本使用,与交换机基本相同
信息中心配置
Log、Trap、Debug信息的输出,对设备的维护与监管至关重要
配置Log信息输出,即配置指定模块的Log信息输出到Log缓冲区、日志文件、控制台、终端和日志主机中。
配置任务两大类:一是Log信息输出基本功能和参数配置;二是Log信息输出配置。
system-view
info-center enable 使能信息中心功能。
info-center channel channel-number name channel-name 可选,为指定编号的信息通道命名。缺省的见上表2-19
info-center filter-id {id | bymodule-alias modname-alias } * &<1-50> 可选,配置对指定Log信息进行过滤。
info-center timestamp log { { date | short-date | format-date} [precision-time {tenth-second | millisecond}] | boot | none} 可选,配置输出的Log信息的时间戳格式。
info-center local log-counter disable 可选,去使能日志信息计数功能。
------------------------------------------------------------------------------------------------------------------------------------------------------
info-center logbuffer 使能Log信息向缓冲区的发送功能。
info-center logbuffer channel {channel-number | channel-name} 配置Log信息输出到Log缓冲区所使用的通道。
info-center source {module-name | default} channel {channel-number | channel-name} log {state {off | on} | level severity} * 配置向信息通道输出Log信息的规则。
info-center logbuffer size logbuffer-size 配置Log缓冲区可容纳Log信息的条数。
---------------------------------------------------------------------------------------------------------------------------------------------------------------
info-center logfile channel {channel-number | channel-name} 配置Log信息输出到日志文件所使用的通道。
info-center source {module-name | default} channel {channel-number | channel-name} log {state {off | on} | level severity} * 配置向信息通道输出Log信息的规则。
info-center logfile path path 配置日志文件保存的路径。
info-center logfile size size 配置日志文件的大小。
info-center max-logfile-number filenumbers 配置日志文件的最大保存个数。
---------------------------------------------------------------------------------------------------------------------------------------------------------------
info-center {console | monitor} channel {channel-number | channel-name} 配置Log信息输出到控制台或终端所使用的通道。
info-center source {module-name | default} channel {channel-number | channel-name} log {state {off | on} | level severity} * 配置向信息通道输出Log信息的规则。
quit
terminal monitor 使能终端显示信息中心发送的信息功能。只是总体上打开在终端显示信息的开关(关闭就使用 u t m)
terminal logging 使能控制台、终端显示Log信息功能,在上一步的基础上。
--------------------------------------------配置Log信息输出到日志主机,很重要-------------------------------------------------------------------
info-center loghost ip-address [ channel {channel-number | channel-name} | facility local-number | {language language-name | binary [port]} | {vpn-instance vpn-instance-name | public-net}] * 配置向日志主机输出信息。
info-center source {module-name | default} channel {channel-number | channel-name} log {state {off | on} | level severity} * 配置向信息通道输出Log信息的规则。
info-center loghost source interface-type interface-number 配置设备向日志主机发送消息的源接口信息。
配置Trap信息输出,总体与Log类似。把上面命令中的Log换成trap。
Trap信息多了一个输出到SNMP代理的配置。通过配置Trap信息输出到网管服务器,可以实现对设备的实时监控,及时定位设备故障,配置Trap到网管之前,需要先配置信息输出到SNMP代理,然后 通过SNMP代理向网管服务器发送trap信息。
system-view
info-center snmp channel {channel-number | channel-name} 配置Trap信息输出到SNMP所使用的通道。
info-center source {module-name | default} channel {channel-number | channel-name} trap {state {off | on} | level severity} * 配置向信息通道输出Trap信息的规则。
snmp-agent 使能SNMP代理
实例:
system-view
sysname Router
info-center enable
info-center snmp channel channel7
info-center source ip cahnnel channel7 trap level informational state on
snmp-agent sys-info version v2c 使能SNMP代理功能,配置版本为SNMPv2c
snmp-agent community write huawei 配置设备读写团体名。
snmp-agent trap enable
snmp-agent target-host trap-hostname nms address 10.1.1.1 trap-paramsname trapnms
snmp-agent target-host trap-paramsname trapnms v2c securityname public
quit
配置Debug信息输出,总体与Log类似。把上面命令中的Log换成debug。
system-view
sysname Router
info-center enable
info-center source arp channel console debug level debugging state on
quit
terminal monitor
terminal debugging
debugging arp packet
同/异步Serial接口配置
同步方式下Serial接口的物理和链路属性配置
-----------------DTE或DCE方式下Serial接口的物理属性--------------------------------
system-view
interface interface-type interface-number 进入要配置物理属性的Serial接口
physical-mode sync 配置Serial接口工作在同步方式,必须与对端设备的Serial接口配置相同的工作方式。
virtualbaudrate baudrate 配置同步方式下DTE设备Serial接口的虚拟波特率。
baudrate baudrate 配置同步方式下DCE设备Serial接口的波特率,与对端(DTE)的虚拟波特率相同。
clock {rc | tc} 配置同步方式下DTE设备Serial接口的时钟模式。
invert transmit-clock 配置翻转同步方式下Serial接口发送的时钟信号。
invert receive-clock 配置翻转同步方式下Serial接口接收的时钟信号。
invert receive-clock auto 配置同步方式下Serial接口接收的时钟信号的自动翻转功能。
detect dsr-dtr 使能同步方式下Serial接口的DSR和DTR信号检测功能。
detect dcd 使能同步方式下Serial接口的DCD信号检测功能。
reverse-rts 配置翻转同步方式下Serial接口的RTS信号。
同步方式下Serial接口的链路层属性配置
system-view
interface interface-type interface-number 进入要配置物理属性的Serial接口
link-protocol ppp 配置同步方式下Serial接口封装PPP。
link-protocol fr [ietf | nonstandard] 配置同步方式下Serial接口封装帧中继协议。
link-protocol hdlc 配置同步方式下Serial接口封装HDLC协议。
code { nrz | nrzi} 配置同步方式下Serial接口的链路编码格式。
crc {16 | 32 | none} 配置同步方式下Serial接口的CRC校验方式。
idlecode { 7e | ff } 配置同步方式下Serial接口的线路空闲码类型。
mtu mtu 配置同步方式下Serial接口的最大传输单元MTU。
rc bypass enable 配置使能同步方式下Serial接口接收方向透明传输功能。
tc bypass enable 配置使能同步方式下Serial接口发送方向透明传输功能。
异步方式下Serial接口物理属性配置
system-view
user-interface tty tty-number 进入TTY用户界面视图
speed speed-value 设置TTY用户界面的传输速率。
flow-control none 设置TTY用户界面流控方式为无流控
parity {even | none | odd} 设置TTY用户界面的校验位。
stopbits {1.5 | 1 | 2} 设置TTY用户界面的停止位。
databits {5 | 6 | 7 | 8 } 设置用于表示数据的位数,也即数据传输模式。
异步方式下Serial接口的链路属性配置
system-view
interface serial interface-number 进入要配置异步方式属性的Serial接口
physical-mode async 配置Serial接口工作在异步方式。
async mode {flow | protocol } 配置异步方式下Serial接口的工作模式。
detect dsr-dtr 使能异步方式下Serial接口的DSR和DTR信号检测功能。
phy-mru mrusize 配置异步方式下Serial接口的MRU。MRU应大于等于MTU
mtu mtu 配置异步方式下Serial接口的最大传输单元MTU。
CE1/PRI接口配置
CE1/PRI接口工作在E1方式具体配置:
system-view
set workmode slot slot-id e1t1 e1-data 配置1E1T1-M/2E1T1-M接口卡工作在CE1/PRI模式。slot-id为槽位号。
controller e1 interface-number 进入指定的CE1/PRI接口视图,这里可以认为是进入物理接口视图,对于上面的接口卡,有两个接口,此命令可以配置其中的一个,如controller e1 4/0/0
[huawei-E1 4/0/0]undo pri-set
[huawei]interface serial 4/0/0:0
[huawei-Serial4/0/0:0]shutdown
以上命令分两组。第一条一组,二三条一组,是二选一命令,用来取消pri-set的捆绑,或是停止E1方式。
using e1 配置CE1/PRI接口工作在E1方式,配置本命令后,系统自动创建一个Serial口,Serial接口的编号是interface-number:0。这就是上一步shutdown停止的口。
这里有必要重新梳理一下思路,一开始的配置是配置整个接口卡的工作模式,即workmode,整个接口卡工作在E1标准的e1-data模式,然后就是配置接口卡上的接口的工作方式,对于E1-Data工作模式,接口又有三种工作方式,一个是非成帧的方式,就是这里配置的E1,创建一个串口,编号是interface-number:0这种格式,相当于一个2.048Mbit/s速率的串口链路;而默认配置是成帧的方式,就是划分时隙,使用using ce1命令配置,配置成ce1,还是不能工作的,因为ce1又分为两种,一种是通道化,即捆绑成多个通道,即除去0信道,其他的31个信道任意捆绑,一个是配置成pri-set,即0信道,16信道D信道与其他的B信道的捆绑。
line-termination {75-ohm | 120-ohm} 配置CE1/PRI接口所连接的电缆类型。
description text
clock {master | slave } 配置接口使用主时钟,作为DCE,为DTE提供时钟
data-coding {inverted | normal}
idlecode {7e | ff} 配置接口的线路空闲码类型
itf {number number | type {7e | ff}} 配置接口帧间填充符的类型和最少个数
crc {16 | 32 | none} 配置指定CE1/PRI接口的CRC校验方式。这里需要注意,此处的CRC校验是对物理帧的校验,与通道化中成复帧CRC4是不一样的。
undo detect-ais 取消对当前CE1/PRI接口进行AIS(Alarm Indication Signal)检测。当CE1/PRI接口工作在E1方式时需要取消。
CE1/PRI接口工作在CE1方式具体配置:
需要将E1线路中的时隙捆绑为多个通道
system-view
set workmode slot slot-id e1t1 e1-data
controller e1 interface-number
[huawei-E1 4/0/0]undo pri-set
[huawei]interface serial 4/0/0:0
[huawei-Serial4/0/0:0]shutdown
using ce1 配置CE1/PRI接口工作在CE1方式,此时2M的线路分成了32个64Kbit/s的时隙,配置后会自动创建一个Serial口,接口的编号为serial interface-number:set-number,其中的set-number为下一步配置的通道号。
channel-set set-number timeslot-list list 将CE1/PRI接口的时隙捆绑为channel set。
line-termination {75-ohm | 120-ohm}
description text
clock {master | slave }
frame-format {crc4 | no-crc4} 配置接口的帧格式,这里的crc要与CRC {16 | 32 | none}区别开。是E1物理帧的校验。
data-coding {inverted | normal}
idlecode {7e | ff}
itf {number number | type {7e | ff}}
crc {16 | 32 | none}
detect-rai 配置当前CE1/PRI接口进行RAI检测。只有CE1或PRI方式才能配置。
CE1/PRI接口工作在PRI方式具体配置:
system-view
set workmode slot slot-id e1t1 e1-data
controller e1 interface-number
using ce1
pri-set [timeslot-list list] 配置将CE1/PRI接口的时隙捆绑成PRI set。接口支撑捆绑成一个PRI SET。不配置list,默认捆绑成30B+1D的ISDN PRI。
line-termination {75-ohm | 120-ohm}
description text
clock {master | slave }
frame-format {crc4 | no-crc4}
data-coding {inverted | normal}
idlecode {7e | ff}
itf {number number | type {7e | ff}}
crc {16 | 32 | none}
detect-rai
E1-F接口工作于非成帧方式的具体配置:
system-view
set workmode slot slot-id e1t1-f e1-f
interface serial interface-number E1-F接口使用的是Serial接口视图。
fe1 unframed 将E1-F接口的工作方式配置为非成帧方式,缺省是工作在成帧方式下。
fe1 line-termination {75-ohm | 120-ohm}
description text
fe1 clock {master | slave }
fe1 data-coding {inverted | normal}
fe1 idlecode {7e | ff}
fe1 itf {number number | type {7e | ff}}
undo fe1 detect-ais
crc {16 | 32 | none}
E1-F接口工作在成帧方式具体配置
当需要使用一个低速率通道传输业务时,需要将E1线路中的时隙捆绑为一个通道,然后利用该通道传输业务。
system-view
set workmode slot slot-id e1t1-f e1-f
interface serial interface-number
undo fe1 unframed
fe1 timeslot-list list
fe1 line-termination {75-ohm | 120-ohm}
description text
fe1 frame-format {crc4 | no-crc4}
fe1 clock {master | slave }
fe1 data-coding {inverted | normal}
fe1 idlecode {7e | ff}
fe1 itf {number number | type {7e | ff}}
fe1 detect-rai
crc {16 | 32 | none}
3G Cellular接口配置
WCDMA网络中的3G Cellular接口配置
system-view
interface cellular interface-number
mtu mtu
profile create profile-number {dynamic | static apn} 创建3G Modem的参数描述模板并配置APN。profile-number是所创建的参数描述模板的索引值,取值只能为1.
plmn search 属于网络探索命令,搜索PLMN
plmn auto 配置采用自动方式选择PLMN
plmn select manual mcc ncc 手动方式选择plmn。
mode wcdma {gsm-only | gsm-precedence | wcdma-only | wcdma-precedence} 配置wcdma的网络连接方式。
quit
dialer rule 进入dialer rule视图,当需要配置拨号访问控制列表时,需要进入此视图。
dialer-rule dialer-rule-number {acl {acl-number | name acl-name } | ip {deny | permit } | ipv6 {deny | permit}} 配置某个拨号访问组对应的拨号访问控制列表,指定引发DCC呼叫的条件。dialer-rule-number指定拨号访问组的编号,要与dialer-group命令中的group-number一致。
quit
interface cellular interface-number
ip tcp vjcompress 配置接口的VJHC压缩功能。VJHC是应用在PPP连路上的IP/TCP报头压缩算法。
dialer enable-circular 使能轮询DCC功能。
dialer-group group-number 指定接口所属的拨号访问组的编号,这个拨号访问组由dialer-rule命令设定,即dialer-rule-number。
ip address ppp-negotiate 配置本端接口接收PPP协商产生的由对端分配的IP地址。
ppp ipcp dns request 配置接口可以接收对端分配的dns服务器地址。配置设备主动请求对端指定DNS服务器地址。
ppp ipcp dns admit-any 配置接口可以接收对端分配的dns服务器地址。配置设备被动的接受对端指定的DNS服务器地址。
ppp pap local-user user-name password {cipher | simple} password 配置本地被对端以PAP方式验证时本地发送的PAP用户名和密码。
ppp chap user user-name
ppp chap password {cipher | simple } password 配置CHAP验证方式。配置CHAP认证的CHAP用户名和密码。用户名和密码是本地发送到对端设备进行CHAP认证时使用的用户名和密码。
dialer number dial-number [autodial] 配置呼叫一个对端的拨号串,通常也就是要拨的电话号码。
pin verification enable pin 使能3G Modem的pin码认证功能。
pin verify pin 对PIN码进行认证。使能PIN码认证功能后,后续每次启动SIM/UIM卡时,设备都会要求用户对PIN码进行认证,否则3G Modem的数据通信功能不可用。
pin modify current-pin new-pin 修改SIM/UIM卡的PIN码。
pin unlock puk new-pin 使用PUK码修改PIN码。
quit
remove interface-cellular 屏蔽设备上的Cellular接口
reboot
CDMA2000网络中3G Cellular接口的配置
system-view
interface cellular interface-number
mtu mtu
mode cdma {1xrtt-only | evdo-only | hybrid }
quit
dialer rule
dialer-rule dialer-rule-number {acl {acl-number | name acl-name } | ip {deny | permit } | ipv6 {deny | permit}}
quit
interface cellular interface-number
ip tcp vjcompress
dialer enable-circular
dialer-group group-number
ip address ppp-negotiate
ppp ipcp dns request
ppp ipcp dns admit-any
ppp pap local-user user-name password {cipher | simple} password
ppp chap user user-name
ppp chap password {cipher | simple } password
dialer number dial-number [autodial]
pin verification enable pin
pin verify pin
pin modify current-pin new-pin
pin unlock puk new-pin
quit
remove interface-cellular
reboot
POS/CPOS接口配置
POS接口配置
system-view
interface pos interface-number
frame-format {sonet | sdh } 配置POS接口的帧格式。注意这里是配置的物理层的帧格式,即选择物理传输标准,不是二层链路层协议帧格式。
mtu mtu
link-protocol {fr | hdlc | ppp} 这里才是配置二层链路层协议帧格式。只有配置了正确的链路层协议才能配置该协议的相关参数。
clock {master | slave} 配置POS接口的时钟模式
flag c2 c2-value
flag {j0 | j1} {1byte-mode value | 16byte-mode value | 64byte-mode value} 配置POS接口的开销字节。这是对物理层信道的配置,是对SONET或SDH的配置。j0是再生段(RSOH)踪迹字节,j1是高阶通道开销(HPOH)通道踪迹字节,c2是高阶通道开销(PHOP)信号标记字节,指示VC帧的复接结构和信息净负荷的性质。对于j0和j1,为何会有1、16、64字节模式?有可能是在这个字节上循环重复设置的字节?
scramble 配置POS接口对载荷数据进行加扰。
crc {16 | 32 } 配置POS接口的CRC校验字长度。这里也不是很明白,这里的crc是物理层的还是链路层的?感觉是链路层的。
threshold {sd | sf } value 配置POS接口的日志门限。信号劣化(Signal Degrade,SD)和信号失效(Signal Fail,SF)日志都是用于指示当前链路性能的。都是接收端检测到链路误码,当链路质量稍微下降时,产生SD日志,当链路质量严重下降时,产生SF日志。
CPOS接口配置
配置CPOS接口的线路属性
system-view
controller cpos cpos-number
multi-channel align-mode {alcate | huawei | lucent} 配置CPOS接口的对接模式,模式分别为阿尔卡特、华为、朗讯。
frame-format {sonet | sdh}
multiplex mode {au-3 | au-4} 配置当CPOS接口帧格式为sdh时AUG的复用路径。当CPOS为sonet时,只能为au-3。
clock {master | slave} 当两台设备的CPOS接口直连时,应该一端为master,一端为slave,当与SONET/SDH设备相连时,由于SONET/SDH网络的时钟精度高于CPOS设备内的时钟,应配置从时钟。
flag {c2 value | {j0 | j1} {1byte-mode 1byte-string| 16byte-mode 16byte-string| 64byte-mode 64byte-string} | s1 s1-string }
itf {number number | byte {7e | ff } }
CPOS接口汇聚接入E1线路的配置步骤
system-view
controller cpos cpos-number
frame-format {sonet | sdh}
multiplex mode {au-3 | au-4} 配置当CPOS接口帧格式为sdh时AUG的复用路径。当CPOS为sonet时,只能为au-3。
clock {master | slave}
quit
set workmode slot slot-id cpos e1-data 配置cpos接口工作在E1模式下。
controller cpos cpos-number
e1 e1-number unframed 配置E1通道工作在非通道化模式。参数e1-number参数用来指定CPOS接口的E1通道号。配置后,设备将生成一个不分时隙、数据带宽为2.048Mbit/s的逻辑通道,用户可通过interface serial cpos-number/e1-number:0访问该逻辑通道。缺省情况下,E1通道是工作在通道化模式下的。
e1 e1-number channel-set set-number timeslot-list slot-list 配置E1通道工作在通道化模式,并对E1通道进行时隙捆绑。e1-number参数用来指定CPOS接口的E1通道号,set-number指定绑定集的编号,slot-list指定捆绑的时隙。设备配置完毕后,会生成一个由时隙slot-list组成的、速率为N x 64Kbit/s的逻辑通道。用户可通过interface serial cpos-number/e1-number:set-number访问该逻辑通道。
e1 e1-number set frame-format {crc4 | no-crc4} 配置在成帧模式下E1通道的帧格式。E1通道的帧格式必须与对端设备E1线路的帧格式保持一致。
e1 e1-number set flag { j2 {1byte-mode 1byte-string | 16byte-mode 16byte-string } | v5 v5-string } 配置E1通道的通道开销。v5指定低阶通道信号标签字节v5,E1模式下,v5只能取1,3,5,缺省为1。
e1 e1-number set clock {master | slave} 配置E1通道的时钟模式。同一个CPOS接口的不同E1通道的时钟模式是相互独立的,而且E1通道的时钟模式必须与对端设备E1线路的时钟模式不同。
e1 e1-number shutdown
配置CPOS接口汇聚接入T1线路
缺省T1通道工作在通道化模式。
system-view
controller cpos cpos-number
frame-format {sonet | sdh}
multiplex mode {au-3 | au-4} 配置当CPOS接口帧格式为sdh时AUG的复用路径。当CPOS为sonet时,只能为au-3。
clock {master | slave}
quit
set workmode slot slot-id cpos t1-data
t1 t1-number unframed
t1 t1-number channel-set set-number timeslot-list slot-list [speed {56k | 64k}]
t1 t1-number set frame-format {esf | sf}
t1 t1-number set flag { j2 {1byte-mode 1byte-string | 16byte-mode 16byte-string } | v5 v5-string } 配置E1通道的通道开销。v5指定低阶通道信号标签字节v5,E1模式下,v5只能取1,3,5,缺省为1。
t1 t1-number set clock {master | slave} 配置E1通道的时钟模式。同一个CPOS接口的不同E1通道的时钟模式是相互独立的,而且E1通道的时钟模式必须与对端设备E1线路的时钟模式不同。
t1 t1-number shutdown
PON接口配置
EPON接口配置步骤
system-view
interface pon interface-number
port mode epon 配置当前PON接口工作模式为EPON模式。缺省接口为自适应模式。
epon-mac-address mac-address 配置设备进行基于物理标识认证时使用的MAC地址。
epon-loid loid 配置设备进行基于逻辑标识认证时使用的逻辑标识。
epon-checkcode checkcode 配置设备进行基于逻辑标识认证时使用的校验码。
epon password cipher password 配置设备进行密码模式认证时使用的密码。
laser {auto | off | on [time-value]} 配置当前PON接口光模块的发光模式。auto为正常发光模式,off为关闭模式,on为长发光模式。
optical-module threshold bias {lower-limit lower-limit | upper-limit upper-limit} 配置光模块偏置电流告警低门限值和高门限值。
optical-module threshold rx-power {lower-limit lower-limit | upper-limit upper-limit} 配置光模块接收光功率告警低门限值和高门限值。
optical-module threshold tx-power {lower-limit lower-limit | upper-limit upper-limit} 配置光模块发送光功率告警低门限值和高门限值。
optical-module threshold temperature {lower-limit lower-limit | upper-limit upper-limit} 配置光模块温度告警低门限值和高门限值。
optical-module threshold voltage {lower-limit lower-limit | upper-limit upper-limit} 配置光模块电压告警低门限值和高门限值。
ADSL/VDSL接口配置
ADSL接口配置步骤
system-view
interface atm interface-number
shutdown 去激活ADSL接口
adsl standard {adsl2 [annexm] | adsl2+ [annexm] | annexl | auto | gdmt | t1413 } 配置ADSL接口的传输标准。
adsl bitswap {off | on } 配置打开或关闭ADSL接口的比特交换开关。
adsl sra {off | on } 配置打开或关闭ADSL接口的无缝速率自适应开关。
adsl trellis {off | on } 配置打开或关闭ADSL接口的格栅编码开关。
undo shutdown
ATM模式下的VDSL接口配置
system-view
set workmode slot slot-id vdsl atm 配置vdsl接口工作在atm模式下。缺省vdsl工作在PTM模式。
interface atm interface-number
shutdown 去激活ADSL接口
adsl standard {adsl2 [annexm] | adsl2+ [annexm] | annexl | auto | gdmt | t1413 } 配置ADSL接口的传输标准。
adsl bitswap {off | on } 配置打开或关闭ADSL接口的比特交换开关。
adsl sra {off | on } 配置打开或关闭ADSL接口的无缝速率自适应开关。
adsl trellis {off | on } 配置打开或关闭ADSL接口的格栅编码开关。
undo shutdown
配置PTM模式下VDSL接口
PTM模式下的VDSL接口配置很简单,主要有以下两方面:
1)在系统视图下通过set workmode slot slot-id vdsl { atm | ptm }命令配置VDSL接口工作在PTM模式下。缺省就是PTM模式。
2)在VDSL接口视图下通过ip address ip-address {mask | mask-length} 【sub】命令为VDSL接口配置IP地址。
G.SHDSL接口配置
配置G.SHDSL接口
system-view
set workmode slot slot-id shdsl atm 配置G.SHDSL接口工作在ATM模式。
interface atm interface-number
shutdown
shdsl bind m-pair link-number 配置指定G.SHDSL接口以M-Pair模式绑定。link-number用来指定绑定接口的数量。
shdsl annex {a | all | b } 配置G.SHDSL接口的传输标准,如接口处于ATM模式下的M-Pair绑定状态且不是主接口,无法配置传输标准。
shdsl psd {asymmetry | symmetry} 配置G.SHDSL接口的功率频谱密度模式。
shdsl pbo auto 配置接口会根据线路噪声,自动调整发送功率。
shdsl pbo value 线路的噪声已知情况下,手工调整发射功率。
shdsl capability {auto | g-shdsl | g-shdsl.bis} 配置G.SHDSL接口的单板能力。
shdsl pam {16 | 32 |auto} 配置G.SHDSL接口调制模式。
shdsl bind m-pair 2 pairs {auto-enhanced | enhanced | standard} 配置G.SHDSL接口绑定可选增强模式。
shdsl rate maximum maximum 配置G.SHDSL接口手动设置速率的最大值。
shdsl rate minimum minimum 配置G.SHDSL接口手动设置速率的最小值。
shdsl compatibility pmms {normal | long } vendor {normal | gs [enhanced]} filter {normal | specific} 配置G.SHDSL接口的兼容性模式。
shdsl current target snr margin upstream value 配置G.SHDSL接口当前上行信噪比。
shdsl current target snr margin downstream value 配置G.SHDSL接口当前下行信噪比。
shdsl worst case target snr margin upstream value 配置G.SHDSL接口最差上行信噪比。
shdsl worst case target snr margin downstream value 配置G.SHDSL接口最差下行信噪比。
shdsl line-probing enable 使能G.SHDSL接口的线路探询功能。
undo shutdown
PTM模式下的G.SHDSL接口配置
system-view
set workmode slot slot-id shdsl ptm 配置G.SHDSL接口工作在PTM模式。
interface Ethernet interface-number
shutdown
shdsl bind efm link-number 配置指定G.SHDSL接口以EFM模式绑定。
shdsl annex {a | all | b }
shdsl psd {asymmetry | symmetry}
shdsl pbo auto
shdsl pbo value
shdsl line-probing enable 使能G.SHDSL接口的线路探询功能。
undo shutdown
DCC配置
配置轮询DCC
1)配置拨号接口链路层协议和IP地址
system-view
interface dialer interface-number 创建并进入Dialer接口视图。
link-protocol [ ppp | fr] 配置拨号接口的链路层协议为PPP或FR。缺省除以太网接口外,其他接口封装的均为PPP。
ip address ip-address {mask | mask-length} 配置dialer接口的IP地址。
ip address ppp-negotiate 配置本端口接受PPP协商产生的由对端分配的IP地址。
2)使能轮询DCC并配置DCC拨号ACL及与接口的关联
system-view
dialer-rule 进入Dialer-rule视图
dialer-rule dialer-rule-number { acl {acl-number | name acl-name} | ip {deny | permit} | ipv6 {deny | permit}} 配置某个拨号访问组对应的拨号访问控制列表,指定引发DCC呼叫的条件。dialer-rule-number指定拨号访问组的编号,要与dialer-group中的group-number一致。
quit
interface interface-type interface-number 进入物理拨号接口(单个接口向一个或多个对端发起呼叫时)视图
interface dialer interface-number 进入Dialer接口(单个或者多个接口向单个或多个对端发起呼叫时)视图。
dialer enable-circular 在拨号接口上使能轮询DCC功能。
dialer-group group-number 配置拨号接口的拨号访问组。参数group-number用来指定接口所属的拨号访问组的编号,这个拨号访问组由dialer-rule命令设定。
3)配置发起或接收轮询DCC呼叫
①一个接口向一个对端发起呼叫
system-view
interface interface-type interface-number
interface dialer interface-number
dialer number dial-number [autodial] 三选一配置,在物理接口或在Dialer接口上配置呼叫一个对端的拨号串(通常就是对端的电话号码)。如拨号接口的IP配置为接受PPP协商产生的由对端分配的IP,需使用本命令来指定拨号串,不能用dialer route ip命令。
dialer route ip next-hop-address [user hostname | broadcast]* dial-string [autodial | interface interface-type interface-number]* 三选一配置,在Dialer接口上配置从一个拨号接口呼叫一个指定目的地址(即拨号路由)。next-hop-address指定拨号目的地的IP地址,且该IP地址为直连的下一跳地址。user hostname指定对端用户名,用于对端接受本端呼叫时所进行的用户认证,若配置该参数,必须配置PPP认证。broadcast设置广播报文可从这条链路发送。dial-string指定去往对端的拨号串(对端电话)。interface选项指定拨号时所用的物理拨号接口。当接口的链路层协议是FR时不能配置该命令,只能使用dialer number,当拨号接口为3G Cellular接口或Dialer接口中包含的物理接口为3G Cellular时,不能配置该命令,只能使用dialer number。一个拨号接口(包括物理接口和Dialer接口)可以配置多条dialer route。一个目的地址也可配置多条dialer route,到同一目的的dialer route间实现相互备份。因为一条dialer route只能对应一个目的地址,需要从一个dialer接口呼叫多个目的地址时,需要重复执行本命令。
dialer route ip next-hop-address [user hostname | broadcast]* [dial-string] [autodial ] 三选一配置,在物理拨号接口上配置从一个拨号接口呼叫一个指定目的地址。在物理接口上配置不用再配置interface选项。
②一个接口向多个对端发起呼叫
必须使用dialer route ip命令来指定到达多个目的地址的拨号串,既可以在物理拨号接口上配置,又可在Dialer接口上配置。
③多个接口向多个对端发起呼叫
system-view
interface dialer interface-number
dialer route ip next-hop-address [user hostname | broadcast]* dial-string [autodial | interface interface-type interface-number]*
quit
interface interface-type interface-number
dialer circular-group number 将物理接口加入指定的拨号循环组中。number应该与interface dialer interface-number中的interface-number一致。执行该命令,接口上会自动使能轮询DCC功能。
dialer priority priority 配置物理接口在拨号循环组中的优先级。在拨号过程中,拨号循环组中的物理接口不使用自己的IP,而是继承Dialer接口的IP。
DCC拨号接口属性配置
system-view
interface interface-type interface-number
interface dialer interface-number
dialer timer idle seconds 配置拨号接口允许链路空闲时间。
dialer timer enable seconds 配置拨号接口下次呼叫发起前的链路断开时间。
dialer timer compete seconds 配置当拨号接口发生呼叫竞争后的接口空闲时间。
dialer timer wait-carrier seconds 配置拨号接口呼叫建立超时间隔。
dialer queue-length packets 配置拨号接口缓冲队列长度。
dialer timer autodial seconds 配置DCC自动拨号的时间间隔。
配置DCC呼叫MP捆绑
interface dialer interface-number
link-protocol ppp 配置拨号接口的链路层协议为PPP
ppp mp 配置封装PPP协议的接口工作在MP方式。这是按照PPP链路用户名查找VT实现MP的方式,根据验证通过的对端用户名查找对应的虚拟接口模板,相同用户名绑定到一个虚拟接口模板实现MP。配置本命令的同时,必须在接口下配置PPP双向认证。
ppp mp max-bind max-bind-number 配置MP最大捆绑链路数。
配置拨号串循环备份
在Dialer接口视图下,执行命令dialer route ip next-hop-address [ user hostname | broadcast ] * [ dial-string [ autodial | interface interface-type interface-number ] * ]。
在物理拨号接口上(PRI/BRI接口)视图下,执行命令dialer route ip next-hop-address [ user hostname | broadcast ] * [ dial-string [ autodial ] ]。
DCC动态路由备份的配置
system-view
standby routing-rule group-number ip ip-address {mask | mask-length} 创建动态路由备份组,并将被监控网段加入动态路由备份组。这样当到所有被监控网段都无有效路由时,则拨号启用备用链路。使用相同group-number重复执行本命令,可以配置一个路由备份组监控不同的网段,各网段之间为“或”的关系,即当到达备份组中指定的所有网络都不存在有效路由时,设备才拨通备份链路。
interface interface-type interface-number
interface dialer interface-number
standby routing-group group-number 在以上拨号备份接口(可以是物理拨号接口或Dialer接口)上启用动态路由备份功能。配置本命令前,要确保备份拨号接口上已经配置基本DCC功能。
standby timer routing-disable seconds 配置主链路重新接通后断开备份链路的延迟时间。为0时,立即断开。
quit
dialer timer warmup seconds 配置动态路由备份功能在系统启动多久后生效,在这段时间内不对备份链路进行呼叫。
配置共享DCC
1)配置链路层协议和IP地址
2)使能共享DCC并配置DCC拨号ACL及与接口的关联
system-view
dialer-rule
dialer-rule dialer-rule-number {acl acl-number | name acl-name} | ip {deny | permit} | ipv6 {deny | permit} } 配置某个拨号访问组对应的拨号访问控制列表,指定引发DCC呼叫的条件。
quit
interface dialer interface-number
dialer user username 在dialer接口上使能共享DCC功能。username指定对端用户名,必须与对端配置的PPP用户名一致。
dialer bundle number 指定以上共享DCC的Dialer接口使用的Dialer bundle(拨号捆绑),Dialer bundle是用于指定有哪些物理端口进行捆绑与一个dialer接口对应的,一个Dialer接口只能对应一个Diler bundle。
dialer-group group-number 配置以上Dialer接口的拨号访问组。
3)配置共享DCC呼叫
system-view
interface dialer interface-number
dialer number dial-number 在Dialer接口上配置呼叫一个对端的拨号串。
quit
interface interface-type interface-number
dialer bundle-number number [priority priority] 把以上物理拨号接口加入指定的Dialer bundle中,并设置优先级。
4)配置DCC拨号接口属性
5)配置DCC呼叫MP捆绑
6)配置通过DCC实现动态路由备份
PPP配置
PPP基本功能配置:
system-view
interface interface-type interface-number
link-protocol ppp 配置接口封装的链路层协议为PPP
ip address ip-address {mask | massk-length} [sub] 设备作为客户端,直接配置接口IP
ip address ppp-negotiate 设备作为客户端,配置接口通过PPP协商获取IP
ip address ip-address {mask | mask-length} 设备作为服务器端,直接配置接口IP
remote address ip-address 设备作为服务器端,配置直接为对端分配IP
remote address pool pool-name 设备作为服务器端,配置采用DHCP全局地址池为对端分配IP地址
ppp ipcp remote-address forced 设备作为服务器端,使本地设备为对端分配的IP地址具有强制性,不允许对端使用自行配置的IP地址。
quit
ip pool ip-pool-name 创建全局地址池
network ip-address [mask {mask | mask-length}] 配置全局地址池下可分配的网段地址。
PPP的PAP认证配置
system-view
interface interface-type interface-number
ppp authentication-mode pap [[call-in] domain domain-name] 在认证方设备上,配置本端设备对对端设备采用PAP认证方式。call-in指定只在远端用户呼入时才认证对方,domian指定用户认证采用的域名,如果不指定域,则以对端发送的用户名中带的域认证用户;如果对端发送的用户名中也不包含域,则使用缺省域default认证用户。
quit
aaa 进入AAA视图
local-user user-name password cipher password 创建本地用户的用户名和密码。
local-user user-name service-type ppp 指定本地用户使用的服务类型为PPP。
ppp pap local-user user-name password {cipher | simple} password 在被认证设备上,配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码。
配置PPP的CHAP认证
认证方配置了用户名时的CHAP认证配置
system-view
interface interface-type interface-number
ppp authentication-mode chap [[call-in] domain domain] 创建认证方配置了用户名时的认证配置,配置本端设备对对端设备采用CHAP认证方式。
ppp chap user username 设置CHAP认证的用户名。username参数指定发送到被认证方设备进行CHAP验证时使用的用户名(使被认证确认认证方资格,不需要在认证方本地创建),在被认证方上为认证方配置的本地用户的用户名必须与此处配置的一致,即与被认证方设备上aaa下local-user一致。因为CHAP认证中只发送用户名,所以可以不需要配置密码,也可使用ppp chap password {cipher | simple} password命令创建密码。
quit
aaa
local-user user-name password cipher password 创建本地用户的用户名和密码。是用来对被认证方所发送的用户名进行认证的用户信息,需要在认证方本地创建。这里配置的用户名要与被认证方配置的认证用户名一致,即与下面ppp chap user命令的用户名一致。
local-user user-name service-type ppp 指定本地用户使用的服务类型为PPP。
ppp chap user username 认证方配置了用户名时的被认证方配置,在被认证设备上,设置CHAP认证的用户名。username用来指定被认证方向认证方发送的用户名(用于认证方对被认证方的认证,不需要在被认证方本地创建),在认证方上为被认证方配置的本地用户名的用户名必须与此处配置的一致。
quit
aaa
local-user user-name password cipher password 创建本地用户的用户名和密码,用于验证认证方的资格,需要在被认证方本地创建。这里创建的用户名要和认证方配置的认证用户名一致。
local-user user-name service-type ppp
认证方没有配置用户名时的CHAP认证配置
system-view
interface interface-type interface-number
ppp authentication-mode chap [[call-in] domain domain] 创建认证方没有配置用户名时的认证配置,配置本端设备对对端设备采用CHAP认证方式。
quit
aaa
local-user user-name password cipher password 创建本地用户的用户名和密码。是用来对被认证方所发送的用户名进行认证的用户信息,需要在认证方本地创建。这里配置的用户名要与被认证方配置的认证用户名一致,即与下面ppp chap user命令的用户名一致。
local-user user-name service-type ppp 指定本地用户使用的服务类型为PPP。
ppp chap user username 认证方没有配置用户名时的被认证方配置,在被认证设备上,设置CHAP认证的用户名。username用来指定被认证方向认证方发送的用户名(用于认证方对被认证方的认证,不需要在被认证方本地创建),在认证方上为被认证方配置的本地用户名的用户名必须与此处配置的一致。
ppp chap password {cipher | simple} password 配置CHAP验证的密码,一定要与认证方设备配置的通过local-user命令创建的用户密码一致。
配置PPP协商参数
system-view
interface interface-type interface-number
ppp timer negotiate seconds 配置PPP协商超时时间间隔。
timer hold seconds 配置轮询时间间隔。
ppp ipcp dns request 配置设备主动向对端请求DNS服务器IP地址。
ppp ipcp dns admit-any 配置路由器被动地接收对端指定的DNS服务器地址。
ppp ipcp dns primary-dns-address [secondary-dns-address] 配置设备为对端设备指定DNS服务器IP地址。
MP配置
配置将PPP链路直接绑定到VT上实现MP
system-view
interface virtual-template vt-number 创建并进入指定的虚拟模板接口视图。
ip address ip-address {mask | mask-length} 直接为VT接口配置IP地址,不要再在各物理PPP链路接口配置IP。
ip address ppp-negotiate 配置本端VT接口接受PPP协商产生的对端接口分配的IP地址。不要再在各物理PPP链路接口配置IP。
ppp mp binding-mode {authentication | descriptor | both} 配置MP绑定的条件。
quit
ppp mp user username bind virtual-template vt-number 配置对端用户和虚拟接口模板的对应关系。
interface interface-type interface-number
ppp mp
配置将PPP链路加入MP-Group实现MP
system-view
interface mp-group group-number 创建并进入指定的MP-group接口视图。
ip address ip-address {mask | mask-length} 直接为MP-group接口配置IP地址,不要再在各物理PPP链路接口配置IP。
ip address ppp-negotiate 配置本端MP-group接口接受PPP协商产生的对端接口分配的IP地址。不要再在各物理PPP链路接口配置IP。
quit
interface interface-type interface-number 键入要绑定到MP-group中的物理接口。
ppp mp mp-group number 将以上物理接口绑定在指定的MP-group上。
配置MP分片和捆绑数
system-view
interface virtual-template vt-number
ppp mp min-fragment size 配置多链路捆绑中对MP出报文进行分片的最小报文长度。缺省500字节。
ppp mp lfi 在以上接口上使能链路分片与交叉LFI功能。使能LFI后,分片大小=(分片最大时延*接口承诺信息速率)/8,单位字节。分片最大时延由ppp mp lfi delay-per-frag max-delay设置,接口承诺信息速率由qos gts cir cir-value[cbs cbs-value]设置。
ppp mp max-bind max-bind-number 以上接口配置MP最大捆绑链路数。
shutdown
undo shutdown
PPPoE配置
通过以太网接口或PON接口连接外置ADSL Modem再连入Internet的PPPoE配置
system-view
interface interface-type interface-number 键入ADSL接口(采用内置ADSL Modem连接时),或者以太网接口和PON接口(采用外置ADSL Modem连接时)。
pppoe-client dial-bundle-number number [on-demand] [no-hostuniq] [ppp-max-payload value] 建立一个PPPoE会话,并指定PPPoE会话对应的Dialer Bundle。一个以太网接口或PON接口可以配置多个PPPoE会话,即一个以太网接口或PON接口可以同时属于多个Dialer Bundle,但是一个Dialer Bundle中只能拥有一个以太网接口或PON接口。PPPoE会话是和Dialer Bundle一一对应的。如果某一Dialer接口的Dialer Bundle已经有一个以太网接口或PON接口被用于PPPoE,那么此Dialer Bundle中不能加入其他任何接口。同样,如果在Dialer Bundle中已经有除PPPoE以太网接口或PON接口以外的接口,那么此Dialer Bundle也同样不能加入被用于PPPoE客户端的以太网接口或PON接口。也就是说,用于PPPoE的dialer Bundle中只用有一个以太网接口或PON接口。
通过ATM接口连接直接连入Internet时的PPPoE配置
system-view
interface virtual-ethernet ve-number 创建并进入VE(虚拟以太网)接口视图。
pppoe-client dial-bundle-number number [on-demand] [no-hostquniq][ppp-max-payload value]
quit
interface atm interface-number [.subinterface] 进入ATM(子)接口视图。
pvc {pvc-name [vpi/vci] | vpi/vci} 创建一条或批量创建指定VPI/VCI的PVC,并进入PVC视图。
map bridge virtual-ethernet interface-number 创建PVC上的PPPoEoA映射,即将对应的ATM接口与前面创建的VE接口绑定。
配置设备作为PPPoE服务器
1、配置虚拟模板接口
PPPoE服务器的虚拟模板接口配置
system-view
interface virtual-template vt-number 创建虚拟模板接口并进入虚拟模板接口视图。
ppp authentication-mode {chap | pap} [[call-in] domain domain-name] 配置本端设备对对端设备的认证方式。
ip address ip-address {mask | mask-length} 配置虚拟模板接口的IP。
remote address ip-address 二选一,配置为以上接口所连接的PPPoE客户端分配的IP。
remote address pool pool-name 配置为PPPoE客户端指定地址池。
ppp ipcp dns primary-dns-address [secondary-dns-address] 配置设备为对端设备指定主、从DNS服务器的IP地址。
quit
ip pool ip-pool-name 创建全局地址池并进入全局地址池视图。
network ip-address [mask {mask | mask-length}] 配置地址池下的IP地址范围。
gateway-list ip-address & <1-8> 配置地址池的出口网关地址。ip-address用来指定客户端的网关IP地址。
2、配置接口上启用PPPoE服务器协议
用户需要将虚拟接口模板绑定到接口(物理以太网接口或PON接口,或者由ADSL接口生成的虚拟以太网接口),才可以实现PPPoE功能。主要就是通过ppp-server bind virtual-template vt-number接口视图命令绑定连接客户端的路由器接口。
3、(可选)配置PPPoE会话参数
system-view
pppoe-server max-sessions total number 配置设备创建PPPoE会话的最大数目。
pppoe-server max-sessions local-mac number 配置在一个本端MAC地址上能创建的PPPoE会话的最大数。
pppoe-server max-sessions remote-mac number 配置在一个对端MAC地址上能创建PPPoE会话的最大数。
4、配置PPPoE认证用户
system-view
aaa
local-user user-name password cipher password
local-user user-name service-type ppp
DHCP/DNS服务配置
基于全局地址池的DHCP服务器的配置任务
配置全局地址池
system-view
ip pool ip-pool-name 创建全局地址池,同时进入全局地址池视图。
network ip-address [mask {mask | mask-length}] 配置全局地址池可动态分配的IP地址范围。每个IP地址池只能配置一个网段。如需多个网段IP,配置多个全局地址池。多个地址池中IP地址不能重叠。
lease {day day [ hour hour [minute minute]] | unlimited} 配置地址池中的IP地址租用期。
excluded-ip-address start-ip [end-ip] 配置地址池中不参与自动分配的IP地址。
gateway-list ip-address & <1-8> 配置到达DHCP客户端的网关地址,也就是DHCP服务器直接连接DHCP客户端或者DHCP中继的接口的IP地址。
static-bind ip-address ip-address mac-address mac-address 采用静态地址绑定方式将全局地址池中的IP地址与DHCP客户端的MAC地址绑定。相当于静态为某客户端分配IP地址。
next-server ip-address 配置客户端自动获取IP地址后下一步使用的其他网络服务器(不是用来提供IP地址自动分配的DHCP服务器)地址。客户端在自动获取IP后,会向指定的服务器请求配置信息。但每个IP地址池只能配置一个提供网络服务的服务器Ip地址。
vpn-instance vpn-instance-name 配置地址池下的VPN实例,仅在VPN实例下配置DHCP服务器时才需进行。
lock 锁定客户端正在使用的IP地址池。
配置连接客户端的接口工作在全局地址池模式
system-view
dhcp enable
interface interface-type interface-number 要使能接口采用全局地址池的DHCP服务器功能的路由器接口(必须是三层接口)。
ip address ip-address {mask | mask-length} 配置三层接口的IP。如果DHCP客户端与服务器处于同一网段,路由器会选择与此接口的IP地址在同一网段的地址池来分配IP。如果该接口未配置IP,或没有和接口地址在相同网段的地址池,用户无法上线。如果DHCP客户端和服务器处于不同网段,DHCP中继设备转发时,DHCP服务器解析收到的DHCP请求报文中giaddr字段指定的IP地址,选择与此IP在同一个网段的地址池来进行IP地址分配,如该IP匹配不到相应的地址池,用户无法上线。
dhcp select global 使能以上接口采用全局地址池的DHCP服务器功能。
配置DHCP客户端的DNS服务和NetBIOS服务
system-view
ip pool ip-pool-name
import all 动态配置DHCP客户端使用的DNS配置信息和NetBIOS配置信息。
domain-name domain-name 配置为DHCP客户端分配的域名后缀。可在每个全局地址池上指定客户端使用的域名。
dns-list ip-address &<1-8> 配置DHCP客户端使用的DNS服务器的IP地址。DHCP服务器在为客户端分配IP地址的同时也指定了DNS服务器IP地址。
nbns-list ip-address &<1-8> 配置DHCP客户端的NetBIOS服务器地址。
netbios-type {b-node | h-node | m-node | p-node} 配置DHCP客户端的NetBIOS节点类型。
配置防止IP地址重复分配功能
dhcp server ping { packet number | timeout milliseconds }*
配置DHCP数据保存功能
system-view
dhcp server database enable 使能DHCP数据保存到FLASH存储设备的功能
dhcp server database write-delay interval 配置数据保存时间间隔。
dhcp server database recover 使能DHCP数据恢复功能,使系统重启时将从Flash设备的文件中恢复DHCP数据。
配置DHCP服务器信任Option82选项功能
dhcp server trust option82
配置DHCP服务器为BOOTP客户端分配IP地址
system-view
dhcp server bootp 使能DHCP服务器应答BOOTP请求功能。缺省已使能。
dhcp server bootp automatic 使能DHCP服务器为BOOTP客户端分配地址的功能。当BOOTP客户端需要从服务器端获取绑定的IP、DNS、网关等信息时,需要通过本命令开启DHCP服务器为BOOTP客户端动态分配地址的功能。
配置基于接口地址池的DHCP服务器
配置接口地址池
system-view
dhcp enable
interface interface-type interface-number
ip address ip-address {mask | mask-length}
dhcp select interface 使能以上接口采用接口地址池的DHCP服务器功能。接口地址池可动态分配的IP地址范围就是接口IP地址所在的网段,只在此接口下有效。
dhcp server lease {day day [ hour hour [minute minute]] | unlimited}
dhcp server excluded-ip-address start-ip [end-ip]
dhcp server static-bind ip-address ip-address mac-address mac-address
dhcp server next-server ip-address
配置DHCP客户端的DNS服务和NetBIOS服务
system-view
interface interface-type interface-number
dhcp server import all 使能接口地址池下自动获取DNS和NetBIOS服务器配置信息。
dhcp server domain-name domain-name 配置为为DHCP客户端静态分配的域名后缀。
dhcp server dns-list ip-address & <1-8>
dhcp server nbns-list ip-address & <1-8>
dhcp server netbios-type {b-node | h-node | m-node | p-node}
配置DHCP中继
一、配置指定接口工作在DHCP中继模式
system-view
dhcp enable
ip relay address cycle 可选配,配置DHCP中继的轮询功能,仅当DHCP中继设备需向多个DHCP服务器转发DHCP报文时才需要配置。因为当DHCP中继上配置多个DHCP服务器时,DHCP中继默认向所有服务器转发DISCOVER报文。执行此命令,DHCP客户端发送DISCOVER报文时,DHCP中继只会选择其中一个DHCP服务器进行轮询转发,如果没收到这个服务器的响应,则继续向另一个DHCP服务器转发DISCOVER报文,依此类推,直到接收到响应报文。
interface interface-type interface-number
ip address ip-address {mask | mask-length}
dhcp select relay 在以上三层接口上使能DHCP中继功能
quit
dhcp relay trust option82 使能DHCP Relay信任Option82选项功能,使在DHCP中继在收到DHCP请求报文时,如包含Option82信息,但当giaddr字段为0时,缺省情况下设备继续对改该报文进行处理。
二、配置DHCP中继转发的目的DHCP服务器组
system-view
dhcp server group group-name 创建DHCP服务器组,进入DHCP服务器组视图。
dhcp-server ip-address [ip-address-index] 向以上DHCP服务器组中添加一个DHCP服务器IP地址。
gateway ip-address 配置DHCP中继到达DHCP服务器的网关地址,仅当DHCP服务器和DHCP中继不在同一网段时才需要配置。另一方面,DHCP服务器也需要使用gateway-list建立到达DHCP中继的网关地址。不配置此命令默认使用DHCP中继上的接口地址与DHCP服务器建立通信,一般不用配置。
vpn-instance vpn-instance-name 将DHCP服务器组绑定到已创建好的VPN实例。
三、配置DHCP中继接口绑定DHCP服务器或DHCP服务器组
system-view
interface interface-type interface-number
dhcp relay server-select group-name 二选一,指定接口要绑定的DHCP服务器组。
dhcp relay server-ip ip-address 二选一,指定接口要绑定的DHCP服务器地址。
四、配置DHCP中继请求DHCP服务器释放客户端IP地址
dhcp relay release client-ip-address mac-address 【vpn-instance vpn-instance-name】【server-ip-address】
配置DHCP/BOOTP客户端
一、配置DHCP/BOOTP客户端属性
system-view
dhcp enable
interface interface-type interface-number
dhcp client class-id class-id 配置DHCP客户端发送DHCP请求报文中的Option60字段(设置厂商分类信息选项,标识DHCP客户端的类型和配置)
dhcp client hostname hostname 配置DHCP客户端或BOOTP客户端的主机名。缺省没有配置。
dhcp client client-id client-id 配置DHCP客户端的标识。DHCP服务器将根据该标识,为DHCP客户端分配IP地址。
dhcp client gateway-detect period period retransmit retransmit timeout time 配置DHCP客户端的网关探测功能。仅适用于双上行链路场景。
dhcp client expected-lease time 配置DHCP客户端期望的租期时间。客户端申请地址时,可以携带期望地址租期,存于报文的Option51字段。服务器会根据期望值和服务器的配置值选一个较短的值分配。
二、配置DHCP服务器路由下发属性
system-view
ip route ip-address {mask | mask-length} interface-type interface-number dhcp [preference-value] 配置DHCP客户端通过DHCP方式获取的路由表,实现动态刷新客户端路由表。
interface interface-type interface-number
dhcp client default-route preference preference-value 配置DHCP服务器下发给以上接口下链接的DHCP客户端的路由表项的默认优先级。
三、使能DHCP/BOOTP客户端功能
ip address dhcp-alloc或ip address bootp-alloc
配置DHCP报文限速
DHCP报文限制配置:
system-view
dhcp enable
方式1:在系统视图下配置DHCP报文限速
dhcp check dhcp-rate enable [vlan { vlan-id1 [to vlan-id2]} &<1-10> 使能DHCP报文速率检查功能。
dhcp check dhcp-rate rate [vlan { vlan-id1 [to vlan-id2]} &<1-10> 配置DHCP报文上送到DHCP协议栈的检查速率。
方式2:在VLAN视图下配置DHCP报文限速
vlan vlan-id
dhcp check dhcp-rate enable 在以上VLAN中使能DHCP报文速率检查
dhcp check dhcp-rate rate 配置以上VLAN中的DHCP报文上送到DHCP协议栈的检查速率,超过此速率限制的DHCP报文会被丢弃。
方式3:在接口视图下配置DHCP报文限速
interface interface-type interface-number
dhcp check dhcp-rate enble 在以上DHCP接口上使能DHCP报文速率检查功能
dhcp check dhcp-rate rate 配置以上DHCP接口的DHCP报文上送到DHCP协议栈的检查速率,超过此速率限制的DHCP报文会被丢弃。
dhcp alarm dhcp-rate enable 使能DHCP报文速率检查告警功能,如接口下丢弃的报文达到告警阈值,产生告警。
dhcp alarm dhcp-rate threshold threshold 配置DHCP报文速率检查告警阈值。
NAT配置
配置动态NAT
一、配置地址转换的ACL规则
acl [number] acl-number [match-order {auto | config}]
二、配置出接口的地址关联
①如用户配置了NAT设备出接口的IP地址和其他应用之后,还有空闲公网IP地址,可以配置单独的地址池。
system-view
nat address-group group-index start-address end-address 配置NAT公网地址池。
interface interface-type interface-number 进入NAT路由器的出接口(只能是三层接口)。
nat outbound acl-number {address-group group-index [no-pat] | interface interface-type interface-number } 将创建的ACL和公网地址池在以上接口进行关联,使符合ACL中规定的私网IP地址可以使用公网地址池进行地址转换。no-pat选项表示使用一对一的地址转换,只转换数据报文的地址而不转换端口信息。(如果不设置这个参数,就成了NAPT了吧?)
②如果用户在配置了NAT设备出接口的IP地址和其他应用后,已没有其他可用公网IP地址,则可以选择Easy IP方式,因为Easy IP可以借助NAT设备出接口的IP地址完成动态NAT。
system-view
interface interface-type interface-number
nat outbound acl-number 配置Easy IP地址转换,直接使用出接口IP地址(可以是静态的,也可以是动态的)进行转换。
三、使能NAT ALG功能
nat alg { all | dns | ftp | rstp |sip} enable
四、配置NAT过滤方式和映射模式
system-view
nat mapping-mode endpoint-independent [{tcp | udp} [dest-port port-number]] 配置NAT映射模式。endpoint-independent指定NAT映射类型为与外部终端地址不相关的模式。tcp指定NAT映射应用于TCP通信,udp指定NAT映射应用于UDP通信,port-number指定NAT映射应用的TCP或UDP的目的端口号。
nat filter-mode {endpoint-independent | endpoint-dependent | endpoint-and-port-dependent} 配置NAT过滤方式。
五、配置两次NAT
nat overlap-address map-index overlappool-startaddress temppool-startaddress pool-length length [ inside-vpn-instance inside-vpn-instance-name ]
六、配置NAT日志输出
system-view
firewall log session enable 使能防火墙日志功能。包括通过定义ACL规则对符合条件的流所记录的日志以及对NAT转换的流所记录的日志。
firewall log session nat enable 使能NAT类型的流日志功能。
info-center enable 使能信息中心功能。
info-center loghost ip-address [channel {channel-number | channel-name} | facility local-number | {language language-name |binary [port]} | vpn-instance vpn-instance-name | public-net] 配置日志输出到日志主机所使用的的通道。
七、配置NAT地址映射表项老化时间
firewall-nat session {dns | ftp |ftp-data | http | icmp | tcp | tcp-proxy | udp | sip | sip-media | rtsp |rtsp-media} aging-time time-value
配置静态NAT
一、配置静态NAT地址映射
system-view
nat static protocol {tcp | udp} global global-address global-port inside host-address [host-port] [vpn-instance vpn-instance-name] [netmask mask] [description description]
nat static protocol {tcp | udp} global interface loopback interface-number global-port [vpn-instance vpn-instance-name] inside host-address [host-port] [vpn-instance vpn-instance-name][netmask mask] [description description]
nat static [protocol {protocol-number | icmp | tcp | udp} ] global { global-address | interface loopback interface-number} inside host-address [vpn-instance vpn-instance-name][netmask mask] [description description]
interface interface-type interface-number 键入NAT出接口(必须是三层接口,但不能是Loopback和NULL接口)
nat static enable
在接口视图下配置NAT静态映射
system-view
interface interface-type interface-number
nat static protocol {tcp | udp} global {global-address | current-interface} global-port inside host-address [host-port] [vpn-instancevpn-instance-name][netmask mask] [acl acl-number] [description description]
nat static protocol {tcp | udp} global interface interface-type interface-number global-port [vpn-instance vpn-instance-name] insidehost-address [host-port] [vpn-instance vpn-instance-name][netmask mask] [acl acl-number] [description description]
nat static [protocol {protocol-number | icmp | tcp | udp} ] global { global-address | current-interface | interface interface-type interface-number} inside host-address [vpn-instance vpn-instance-name][netmask mask] [acl acl-number] [description description]
二、配置DNS Mapping
system-view
nat dns-map domain-name global-address global-port {tcp | udp} 配置域名到公网IP地址、端口号、协议类型的映射。
nat alg dns enable
配置NATServer地址映射
system-view
interface interface-type interface-number 键入外网主机访问内部服务器的接口(不一定是NAT出接口,必须是三层接口)
nat server protocol {tcp | udp} global {global-address | current-interface} global-port inside host-address [host-port] [vpn-instance vpn-instance-name] [acl acl-number][description description]
nat server protocol {tcp | udp} global interface interface-type interface-number global-port [vpn-instance vpn-instance-name] insidehost-address [host-port] [vpn-instance vpn-instance-name] [acl acl-number][description description]
nat server [protocol {protocol-number |icmp | tcp | udp}] global {global-address | current-interface | interface interface-type interface-number } inside host-address [vpn-instance vpn-instance-name] [acl acl-number][description description]
BFD配置
配置静态BFD单跳检测
system-view
bfd 使能全局BFD功能,并进入BFD视图
default-ip-address [ip-address] 配置BFD缺省组播IP地址,范围224.0.0.107~224.0.0.250。仅当对端设备无法配置IP地址(如对端为二层设备)时采用。缺省组播IP为224.0.0.184
quit
bfd session-name bind peer-ip ip-address [vpn-instance vpn-name] interface interface-type interface-number [source-ip ip-address] 二选一,对于三层接口,创建检测IP连通性的BFD会话绑定信息,并进入BFD会话视图。peer-ip指定BFD会话绑定的对端IP地址;interface指定绑定BFD会话的本端接口类型和编号。单跳检测必须绑定对端IP地址和本端相应接口,多跳检测只需绑定对端IP地址;source-ip指定BFD报文携带的源IP地址,在BFD会话协商阶段,如果不配置该参数,系统将在本地路由表中查找去往对端IP地址的出接口,然后以该接口的IP作为本端发送BFD报文的源IP,在BFD会话检测链路阶段,如不配置该参数,系统会将BFD报文的源IP地址设置为一个固定的值。
bfd session-name bind peer-ip default-ip interface interface-type interface-number [source-ip ip-address] 二选一,对于二、三层接口和三层子接口,创建检测链路物理状态的BFD会话绑定,并进入BFD会话视图。peer-ip default-ip用来指定BFD会话绑定由default-ip-address [ip-address] 命令配置的缺省组播IP。
discriminator local discr-value 配置BFD会话的本地标识符,标识符用来区分两个系统之间的多个BFD会话。配置标识符时,本端的本地标识符与对端的远端标识符必须相同。本地标识符和远端标识符配置成功后不可修改。对于使用缺省组播IP地址的BFD会话,本地标识符和远端标识符不能相同。
discriminator remote discr-value 配置BFD会话的远端标识符。
commit 提交BFD会话配置。必须执行本命令后才能使配置生效。
二、配置静态BFD多跳检测
system-view
bfd 使能全局BFD功能
quit
bfd session-name bind peer-ip ip-address [vpn-instance vpn-name] [source-ip ip-address] 创建检测IP连通性的BFD会话绑定信息,并进入BFD会话视图。
discriminator local discr-value
discriminator remote discr-value
commit
三、配置静态标识符自协商BFD
system-view
bfd 使能全局BFD功能
quit
bfd session-name bind peer-ip ip-address [vpn-instance vpn-name] [interface interface-type interface-number] source-ip ip-address auto 创建静态标识符自协商BFD会话,并进入BFD会话视图。关键字auto用来使能静态标识符自协商功能。在创建静态标识符自协商BFD会话时:必须配置源IP地址,必须指定明确的对端IP地址,不能使用组播IP地址。
commit
四、配置静态BFD单臂回声功能
system-view
bfd 使能全局BFD功能
quit
bfd session-name bind peer-ip ip-address [vpn-instance vpn-name] interface interface-type interface-number [source-ip ip-address] one-arm-echo 创建静态标识符自协商BFD会话,并进入BFD会话视图。关键字one-arm-echo用来使能单臂回声功能的BFD会话。单臂回声功能的BFD会话只能应用在单跳检测中。单臂回声BFD也是静态标识符自协商。
commit
五、配置静态BFD与接口/子接口状态联动
system-view
bfd 使能全局BFD功能,并进入BFD视图
default-ip-address [ip-address] 配置BFD缺省组播IP地址,范围224.0.0.107~224.0.0.250。缺省组播IP为224.0.0.184
quit
bfd session-name bind peer-ip default-ip interface interface-type interface-number [source-ip ip-address] 创建检测链路物理状态的BFD会话绑定,并进入BFD会话视图。peer-ip default-ip用来指定BFD会话绑定缺省组播IP地址,必须使用缺省组播IP地址进行绑定,且必须同时指定出接口(且必须是主接口)
discriminator local discr-value 配置BFD会话的本地标识符,标识符用来区分两个系统之间的多个BFD会话。
discriminator remote discr-value 配置BFD会话的远端标识符。
process-interface-status (与接口联动)
process-interface-status sub-if (与子接口联动) 只能对采用缺省组播IP地址检测的单跳BFD会话配置本命令,支持BFD会话绑定主接口或子接口
commit
六、调整BFD参数
system-view
bfd session-name 进入指定的BFD会话视图
min-tx-interval interval 配置BFD报文的发送间隔。10~2000ms。发送间隔直接决定了BFD会话的检测时间。
min-rx-interval interval 配置BFD报文的接收间隔,通常要小于发送间隔。
detect-multiplier multiplier 配置本地检测倍数。本端检测倍数直接决定了对端BFD会话的检测时间。检测时间=接收到的远端multiplier × max(本地的RMRI,接收到的DMTI),RMRI(Required Min Rx Interval)是本端能够支持的最短BFD报文接收间隔,通过min-rx-interval配置;DMTI(Desired Min Tx Interval)是本端想要采用的最短BFD报文的发送间隔,是通过min-tx-interval配置的。
wtr wtr-value 配置BFD会话的等待回复时间。当BFD会话从状态Down变为UP,BFD等待wtr超时后才将这个变化通知给上层应用,其他状态变化的事件仍立即上报,主要为了避免震荡。
description description
quit
bfd
delay-up time 配置BFD会话延迟Up的时间。实际中,一些设备只根据BFD会话是否Up来启动流量切换。由于路由协议UP的时间比接口UP的时间晚,可能导致流量回切时查不到路由,导致流量丢失,为避免这种情况,需要BFD回话在建立并协商Up之前通过本命令延迟一段时间。
peer-ip peer-ip mask-length ttl {single-hop | multi-hop} ttl-value 配置BFD报文的生存时间。
NQA配置
配置ICMP NQA测试
system-view
nqa test-instance admin-name test-name 创建NQA测试例,并进入测试例视图。admin-name创建进行NQA测试的管理员账户,test-name配置NQA测试例的测试例名称。
test-type icmp 配置测试例类型为ICMP NQA。
destination-address ipv4 ipv4-address 配置NQA测试例的目的IP地址。
description string
frequency interval 配置NQA测试例自动执行测试的时间间隔。
timeout time 配置一次探测的超时时间。
source-interface interface-type interface-number 配置NQA测试例的源端接口(必须是已经配置IP地址的接口)
source-address ipv4 ipv4-address 配置NQA测试的源端的IPv4地址,相当于ping命令中的“-a”选项
ttl number 配置NQA测试例测试报文的TTL值,相当于ping中的“-h”
datasize size 配置NQA测试例的报文数据区大小,相当于ping中的“-s”。
datafill fillstring 配置填充字符,相当于ping中的“-p”
sendpacket passroute 配置NQA测试例不查找路由表发送报文,此时会造成同时配置的ttl或ip-forwarding命令无效。
probe-count number 配置NQA测试例的一次测试探针数目。
tos value 配置NQA测试报文的服务类型
fail-percent percent 测试失败百分比,用来判断某次测试是否失败
interval seconds interval 配置测试报文的发送间隔,相当于ping中的“-m”
vpn-instance vpn-name 配置NQA测试例的VPN实例名
records history number 配置NQA测试的最大历史记录数目
records result number 配置NQA测试的最大测试结果记录数目。
agetime hh:mm:ss 配置测试例的老化时间
ip-forwarding 配置头结点强制走IP转发。
nexthop ipv4 ip-address 配置测试例的下一跳IPv4地址。
start now [end { at [yyyy/mm/dd] hh:mm:ss | delay { seconds second | hh:mm:ss} | lifetime {seconds second | hh:mm:ss}}] 三选一,立即启动NQA测试例
start at [yyyy/mm/dd] hh:mm:ss [end { at [yyyy/mm/dd] hh:mm:ss} | lifetime {seconds second | hh:mm:ss}}] 在指定时刻启动NQA测试例
start delay {seconds second | hh:mm:ss } [end {at [yyyy/mm/dd | delay {seconds second | hh:mm:ss} | lifetime {seconds second | hh:mm:ss}]}] 延迟指定时间后启动NQA测试例
restart 重新启动NQA测试例
VRRP配置
VRRP基本功能配置
一、创建VRRP备份组
vrrp vrid virtual-router-id virtual-ip virtual-address
如果下游设备上送至网关的报文中带有VLAN Tag,则需要进入子接口视图,并根据实际情况进行如下配置:
1)报文中带有一层Tag时,先要通过dot1q termination vid vid子接口视图命令配置对指定Tag的终结功能,然后在后面配置dot1q vrrp vid vid子接口视图命令配置用指定Tag值的Dot1q数据报文来维护VRRP状态。
2)报文中带有两层Tag时,先要通过qinq termination pe-vid pe-vid ce-vid ce-vid子接口视图命令配置子接口对指定的两层Tag报文的终结功能,然后通过qinq vrrp pe-vid pe-vid ce-vid ce-vid子接口视图命令配置用指定的双层Tag的QinQ数据报文来维护VRRP。
3)在子接口上配置VRRP时,建议同时使用arp broadcast enable命令使能终结子接口的ARP广播功能,以允许对应终结子接口能转发广播报文。
二、配置设备在备份组中的优先级
vrrp vrid virtual-router-idpriority priority-value
三、配置VRRP的时间参数
system-view
interface interface-type interface-number VRRP接口,可以是物理接口、逻辑接口或子接口
vrrp vrid virtual-router-id timer advertise advertise-interval 配置路由器发送VRRP通告报文的时间间隔。
vrrp vrid virtual-router-id preempt-mode timer delay delay-value 配置路由器为延迟抢占方式,并配置抢占延迟时间。缺省抢占延迟时间为0,即立即抢占。可以用vrrp vrid vrid preempt-mode disable命令设置对应VRRP备份组中的路由器采用非抢占方式。
quit
vrrp recover-delay delay-value 配置当前路由器在VRRP备份组的状态恢复延迟时间。执行此命令后,该路由器上所有VRRP备份组配置了相同的状态恢复延迟时间。
vrrp gratuitous-arp timeout time 配置当前路由器Master发送免费ARP报文的超时时间。应小于用户侧设备的MAC地址表项老化时间。
四、配置其他可选功能
system-view
vrrp version {v2 | v3}
vrrp virtual-ip ping enable 使能Master设备响应Ping报文。
interface interface-type interface-number
vrrp un-check ttl 禁止检测VRRP报文的TTL值。
vrrp vrid virtual-router-id authentication-mode {simple {key | plain key | cipher cipher-key} | md5 md5-key} 配置VRRP备份组的认证方式和认证字符。同一VRRP备份组的认证方式和认证字符必须相同。
quit
interface interface-type interface-number 键入在super-Vlan中要发送VRRP通告报文Super-VLAN中的VLANIF接口。
vrrp advertise send-mode {sub-vlan-id | all } 配置在Super-Vlan中VRRP通告报文发送方式,仅在相关Super-VLAN中VLANIF接口上已经成功配置了VRRP备份组才需要配置本命令。
VRRP联动功能配置
一、配置VRRP与接口状态联动监视上行接口
配置VRRP与接口状态联动监视上行接口,仅可在Master上配置。
system-view
interface interface-type interface-number 键入Master设备VRRP接口,可以是物理、逻辑或子接口
vrrp vrid virtual-router-id track interface interface-type interface-number [reduced value-reduced] 配置VRRP备份组与上行接口状态联动。reduced value-reduced指定当被监视的上行接口状态变为Down时,Master设备优先级降低的数值(不是降低后的优先级值),必须确保优先级降低后Master设备的优先级低于当前Backup、设备的优先级,以触发主备切换。当设备为IP地址拥有者,即当采用该设备VRRP接口IP地址作为虚拟路由器的IP地址时,不允许对该设备配置监视接口。
二、配置VRRP与BFD联动实现快速切换
system-view
interface interface-type interface-number 键入Master设备VRRP接口,可以是物理、逻辑或子接口
vrrp vrid virtual-router-id track bfd-session {bfd-session-id | session-name bfd-config-name} [increased value-increased] 在backup设备VRRP接口上使能VRRP通过联动BFD会话状态来实现快速主备切换的功能。value-increased指定当被监视的BFD会话变为Down状态,Backup设备优先级增加的数值(不是指增加后的优先级值),必须确保优先级增加后Backup设备优先级高于当前Master设备的优先级,以触发主备切换。
三、配置VRRP与BFD/NQA/路由联动监视上行链路
VRRP与BFD/NQA/路由联动监视上行链路,仅可在Master设备上配置。
system-view
interface interface-type interface-number 键入Master设备VRRP接口,可以是物理、逻辑或子接口
vrrp vrid virtual-router-id track bfd-session {bfd-session-id | session-name bfd-config-name} [reduced value-reduced] (三选一)在Master设备VRRP接口上使能VRRP通过联动BFD会话状态来实现主备切换的功能。
vrrp vrid virtual-router-id track nqa admin-name test-name [reduced value-reduced] (三选一)在Master设备VRRP接口上使能VRRP与NQA联动功能。
vrrp vrid virtual-router-id track ip route ip-address {mask-address | mask-length}[vpn-instance vpn-name] [reduced value-reduced] (三选一)在Master设备VRRP接口上使能VRRP联动指定的路由功能。
接口备份配置
(一)、配置主备接口备份基本功能
system-view
interface interface-type interface-number 进入主接口视图
standby interface interface-type interface-number [priority] 配置主接口的备份接口并配置其优先级。一台设备最多10个主接口,一个主接口最多3个备份接口。
standby timer delay enable-delay disable-delay 配置主备接口切换延时。
(二)、配置负载分担接口备份
system-view
interface interface-type interface-number 进入主接口视图
standby interface interface-type interface-number [priority] 配置主接口的备份接口并配置其优先级。
standby threshold enable-threshold disable-threshold 配置负载分担门限的上限和下限阈值。enable-threshold是上限阈值,disable-threshold下限阈值。一旦通过本命令配置了百分比门限,则表示采用负载分担方式,否则采用主备备份方式。
standby bandwidth size 配置负载分担方式下主接口的最大可用带宽,不能超出具体主接口的实际物理带宽。
standby timer flow-check time 配置检测主接口流量的时间间隔。
三)、配置主备接口备份联动功能
三种联动方式:BFD、NQA、路由联动
1、配置主备接口备份与BFD联动功能
system-view
ip route-static ip-address {mask | mask-length} {nexthop-address | interface-type interface-number [nexthop-address] }[preferencepreference | tag tag] * [track bfd-session cfg-name] [description text] 为主链路的IPv4静态路由绑定BFD会话,或配置主、备链路的路由优先级(要求分别配置主备链路的静态路由,且备份链路静态路由优先级高于主链路静态路由的优先级)。当主链路和备份链路采用静态路由时,才需要执行本步命令。
interface interface-type interface-number 进入备份接口视图
standby track bfd-session session-name session-name 使能接口备份与BFD联动功能。
2、配置主备接口备份与NQA联动功能
system-view
ip route-static ip-address {mask | mask-length} {nexthop-address | interface-type interface-number [nexthop-address] }[preferencepreference | tag tag] * [track nqa admin-name test-name] [description text] 为主链路的IPv4静态路由绑定NQA会话,或配置主、备链路的路由优先级(要求分别配置主备链路的静态路由,且备份链路静态路由优先级高于主链路静态路由的优先级)。当主链路和备份链路采用静态路由时,才需要执行本步命令。
interface interface-type interface-number 进入备份接口视图
standby track nqa admin-name test-name 使能接口备份与NqA联动功能。
3、配置主备接口备份与路由联动功能
standby track ip route ip-address {mask-address | mask-length}[VPN-instance vpn-instance-name]
双机热备份
通过VRRP实现流量切换的双机热备份功能的配置
(一)创建HSB主备服务
HSB主备服务的配置需要同时在主、备设备上配置。
system-view
hsb-service service-index 创建HSB主备服务并进入HSB备份服务视图,参数仅可为0,即一个设备上仅可配置一个HSB主备服务。
service-ip-port local-ip local-address peer-ip peer-ip-address local-data-port local-port peer-data-port peer-port 配置HSB主备服务的IP地址和端口号。这里所配置的本端和对端IP地址是指热备份的双机主备通道上两端设备直连接口上的IP地址。
service-keep-alive detect retransmit retransmit-times interval interval-value 配置HSB主备服务报文的重传次数和发送时间间隔。
(二)配置HSB备份组
HSB备份组的配置需要同时在主、备设备上配置
system-view
hsb-group group-index 创建HSB备份组并进入HSB备份组视图,参数仅可为0。
bind-service service-index 配置HSB备份组绑定的主备服务。
track vrrp vrid virtual-router-id interface interface-type interface-number 配置HSB备份组绑定的VRRP备份组。接口指定当前设备中VRRP备份组所在的接口类型和编号。默认备份组中路由器采用抢占模式,抢占前要将原主设备上的数据批量备份到本设备。由于批量备份数据需要一定时间,在主设备VRRP备份组上执行抢占模式时delay time要适当配置好。
quit
hsb-service-type firewall hsb-group group-index 使能防火墙主备功能,绑定主备备份组。
(三)使能HSB备份组
hsb enable
静态路由配置
公网(即非特定VPN实例的网络上)配置静态路由
system-view
ip route-static ip-address {mask | mask-length} {nexthop-address | interface-type interface-number [nexthop-address] | vpn-instancevpn-name nexthop-address} [preference preference | tag tag][description description] 在NBMA或者广播网络中
ip route-static ip-address {mask | mask-length} interface-type interface-number [nexthop-address] [preference preference | tag tag] *ldp-sync [description description] 在点对点网络中
VPN实例中配置静态路由
ip route-static vpn-instance vpn-source-name destination-address {mask | mask-length} {nexthop-address [public] | interface-type interface-number [nexthop-address] | vpn-instance vpn-destination-name nexthop-address} [preference preference | tag tag]*[description description] 在NBMA或者广播网络中
ip route-static vpn-instance vpn-source-name destination-address {mask | mask-length} interface-type interface-number [nexthop-address] [preference preference | tag tag] *ldp-sync [description description] 在点对点网络中
ip route-static default-preference preference 设置静态路由的缺省优先级,仅在所有上一步在创建静态路由时没有指定preference参数的静态路由上生效。
ip route-static selection-rule relay-depth 使能静态路由按迭代深度进行优选功能。
ip route-static ip-address {mask | mask-length} {nexthop-address | interface-type interface-number [nexthop-address] | vpn-instancevpn-name nexthop-address} permanent 配置静态路由永久发布。
二、配置静态路由与静态BFD联动
ip route-static ip-address {mask|mask-length} {nexthop-address |interface-type interface-number [nexthop-address]}[preference preference |tag tag]* track bfd-session cfg-name[description text]
三、配置静态路由与NQA联动
system-view
nqa test-instance admin-name test-name 创建NQA测试例并进入测试例视图
test-type icmp 配置测试例类型为ICMP。
destination-address ipv4 ip-address 配置NQA测试例的目的IP地址,也就是NQA测试例的服务器端IP地址。
frequency interval 配置测试例的自动执行测试的时间间隔。
interval {milliseconds interval | seconds interval} 配置NQA测试例的发送报文的时间间隔。
probe-count number 配置NQA测试例一次测试的探针数目。
start now [end {at [yyyy/mm/dd] hh:mm:ss | delay {seconds second | hh:mm:ss} | lifetime {seconds second | hh:mm:ss}] 立即启动测试例
start at [yyyy/mm/dd] hh:mm:ss [end {at [yyyy/mm/dd] hh:mm:ss | delay {seconds second | hh:mm:ss} | lifetime {seconds second | hh:mm:ss}] 在指定时刻启动测试例
start delay {seconds second | hh:mm:ss} [end {at [yyyy/mm/dd] hh:mm:ss | delay {seconds second | hh:mm:ss} | lifetime {secondssecond | hh:mm:ss}] 延迟指定时间后启动测试例。
quit
ip route-static ip-address {mask | mask-length} {nexthop-address | interface-type interface-number [nexthop-address]} [preferencepreference | tag tag] * track nqa admin-name test-name [description text] 配置静态路由与NQA测试例联动。
RIP路由配置
一、配置RIP基本功能
system-view
rip [process-id][vpn-instancec vpn-instance-name] 使能指定的RIP进程,进入RIP视图(在一个RIP路由器上可以运行多个RIP进程)
description text
undo verify-source 禁止对RIP报文的源地址检查,缺省使能,即检查发送报文的接口IP地址与接收报文接口的IP地址是否在同一网段。如果不同,则该RIP报文将不被处理。当P2P网络中链路两端的IP地址属于不同网络时,只有取消报文源地址检查,链路两端才能建立起正常的邻居关系。
network network-address 对指定网段接口使能RIP路由,即宣告网络。network-address不带子网掩码,因为改地址必须是自然网段地址,不能是子网地址。
peer ip-address 指定RIP邻居的IP地址,仅用于NBMA网络。
version {1 | 2} 指定一个全局RIP版本
quit
interface interface-type interface-number 进入要配置RIP版本的RIP路由器接口。
rip version {1 | 2 [broadcast | multicast]} 配置接口的RIP版本。
二、配置RIPv2特性
1、配置RIPv2的路由聚合
system-view
rip [process-id] 进入指定的RIP视图,不指定,直接进入进程1视图。
version 2 设置RIP为版本2,只有2版本的自动路由聚合是可配置的。
summary [always] 使能RIP有类的自动路由聚合,聚合后的路由以使用自然掩码的路由形式发布。
interface interface-type interface-number 进入要配置手动路由聚合的RIP路由器接口。
rip summary-address ip-address mask [avoid-feedback] 配置在以上接口下发布一条RIP聚合路由。
2、配置RIPv2报文的认证方式
system-view
interface interface-type interface-number
rip authentication-mode simple {plain plain-text | [cipher] password-key} 三选一,配置RIPv2报文为简单认证方式
rip authentication-mode md5 usual {plain plain-text | [cipher] password-key}
rip authentication-mode md5 nonstandard {keychain keychain-name | {plain plain-text | [cipher] password-key} key-id} 三选一,配置RIPv2报文为MD5密文认证方式。
rip authentication-mode hmac-sha256 {plain plain-text | [cipher] password-key} key-id 三选一,配置RIPv2报文为HMAC-SHA256密文认证方式
三、配置防止路由环路
system-view
interface interface-type interface-number 进入要配置水平分割或毒性反转的RIP路由器接口
rip split-horizon 使能RIP的水平分割功能
rip poison-reverse 使能RIP的毒性反转功能
四、控制RIP的路由选路
system-view
rip [process-id]
preference {preference | route-policy route-policy-name} * 配置RIP路由的优先级
maximum load-balancing number 配置进行负载分担的最大等价路由条数
quit
interface interface-type interface-number 要附加度量值的RIP路由器接口
rip metricin {value | {acl-number | acl-name acl-name | ip-prefix ip-prefix-name} value} 配置接口接收RIP路由更新报文时要给对应路由增加的度量值。当该接口接收到一条路由时,RIP将接口接收权值附加到该路由上,再加入路由表中。
rip metricout {value | {acl-number | acl-name acl-name | ip-prefix ip-prefix-name} value} 配置接口发送RIP路由更新报文时要给对应路由增加的度量值。当发布一条路由时,发送度量值会在发布该路由之前附加在这条路由上。但本地路由表中的度量值不会发生改变。
五、控制RIP路由信息的发布
system-view
rip [process-id]
default-route originate [cost cost | {{match default | route-policy route-policy-name} [avoid-learning]}] * 配置当前设备生成一条缺省路由或者将路由表中存在的缺省路由发送给邻居路由器。cost指定生成的缺省路由的度量值,match default指定当前路由表中存在其他路由协议或其他RIP进程生成的缺省路由时,则向邻居发布该缺省路由(二选一);route-policy指定生成缺省路由策略名称(二选一);avoid-learning指定当路由表中已有活跃的缺省路由时,则不引入其他缺省路由。
default-cost cost 配置引入路由的缺省开销值,引入后,最终的开销值还将增加1。
import-route bgp [permit-ibgp] [cost {cost | transparent} | route-policy route-policy-name]* 或
import-route {{static | direct | unr} | {{rip | ospf | isis} [process-id]}} [cost cost | route-policy route-policy-name ]* 引入外部路由信息,包括静态路由、直连路由、BGP/OSPF/IS-IS路由,以及其他进程的RIP路由。
filter-policy {acl-number | acl-name acl-name | ip-prefix ip-prefix-name} export [protocol [process-id] | interface-type interface-number] 在向外发布路由更新时对引入的路由信息进行过滤。
silent-interfacce {all | interface-type interface-number} 抑制所有(all)或指定(interface参数)RIP路由接口,使其只接收报文,用来更新自己的路由表,而不发送RIP报文。
quit
interface interface-type interface-number 进入要禁止发送RIP报文的RIP路由器接口
undo rip output 禁止以上接口发送RIP报文。
六、控制RIP路由信息的接收
system-view
rip [process-id]
undo host-route 禁止32位主机路由加入RIP路由表
filter-policy {acl-number | acl-name acl-name} import [interface-type interface-number] (三选一)配置基于ACL过滤学到的路由信息。
filter-policy gateway ip-prefix-name import (三选一)配置基于发布网关(也就是发布对应流入路由的网关)过滤邻居发布的路由信息。
filter-policy ip-prefix ip-prefix-name [gateway ip-prefix-name] import [interface-type interface-number] (三选一)配置对指定接口学到的路由进行基于目的地址前缀和基于邻居的过滤。
quit
interface interface-type interface-number 进入要禁止接收RIP报文的路由器接口
undo rip input 禁止以上接口接收RIP报文
七、调整RIP网络性能参数
system-view
rip [process-id]
timers rip update age garbage-collect 调整RIP定时器,update指定路由更新报文的发送间隔,age指定RIP路由的老化时间,garbage-collect指定路由被从路由表中删除的时间。
checkzero (三选一)使能对RIPv1报文中的零域进行检查
verify-source 使能对收到的RIP路由更新报文进行源IP地址检查。
quit
interface interface-type interface-number 进入要配置RIP报文的发送时间间隔和发送报文的最大数量,或者配置重放保护功能的RIP路由器接口。
rip pkt-transmit {interval interval | number pkt-count} * 在以上接口上设置RIP发送更新报文的时间间隔和每次发送报文的数量。
rip authentication-mode md5 nonstandard password-key key-id 配置RIP-2使用MD5密文的验证方式,验证报文使用非标准报文格式。
rip replay-protect 在以上接口上使能replay-protect功能。
八、配置RIP与BFD联动
1、配置RIP与动态BFD联动
system-view
bfd 使能全局BFD功能
quit
rip [process-id]
bfd all-interfaces enable 在RIP进程下使能所有接口的BFD特性。当配置了全局BFD特性,且邻居状态为Up时,RIP为该进程下所有在对应进程下的接口使用缺省的BFD参数值建立BFD会话。
bfd all-interfaces {min-rx-interval min-receive-value | min-tx-interval min-transmi-valuet | detect-multiplier detect-multiplier-value} 配置BFD会话参数值。
quit
interface interface-type interface-number 进入要阻塞创建BFD会话的RIP路由器接口
rip bfd block 阻塞以上接口创建BFD特性。
在RIP接口下使能BFD
interface interface-type interface-number 进入要使能BFD会话的RIP路由器接口
rip bfd enable 使能指定接口的BFD特性
rip bfd {min-rx-interval min-receive-value | min-tx-interval min-transmi-valuet | detect-multiplier detect-multiplier-value} 在以上接口配置动态BFD会话的参数值。
2、配置RIP与静态BFD联动
system-view
bfd 使能全局BFD功能
quit
配置单臂回声BFD或普通单跳BFD
interface interface-type interface-number 进入要使能BFD会话功能的RIP路由器接口
rip bfd static 在使能RIP的特定接口下使能静态BFD特性
OSPF路由配置
配置OSPF基本功能
一、创建OSPF进程
ospf [process-id | router-id router-id | vpn-instance vpn-instance-name]*
二、创建OSPF区域
area area-id
三、使能OSPF
1、在OSPF区域视图下配置
network ip-address wildcard-mask
对于Loopback接口,缺省情况下OSPF是以32位主机路由方式对外发布其IP地址,与接口上配置的掩码长度无关。
发布Loopback接口的网段路由,需要在接口下执行ospf network-type {broadcast | nbma}命令配置网络类型为广播或NBMA。
在接口下通过ospf enable [process-id] area area-id命令在具体接口上使能OSPF,则优先级高于本命令的全局使能配置。
2、在接口视图下配置
ospf enable [process-id] area area-id
四、创建虚连接
vlink-peer router-id [smart-discover | hello hello-interval | retransmit retransmit-interval | trans-delay trans-delay-interval | dead dead-interval | [simple[plain plain-text | [cipher] cipher-text] | {md5 | hmac-md5 | hmac-sha256} [key-id {plainplain-text | [cipher] cipher-text}] | authentication-null |keychain keychain-name]]*
五、配置对OSPF更新LSA的泛洪限制
flooding-control [number transmit-number | timer-interval transmit-interval]*
配置OSPF邻居或邻接的会话参数
1、配置OSPF报文重传限制
retransmission-limit [max-number]
2、使能在DD报文中填充接口的实际MTU
ospf mtu-enable
配置OSPF在不同网络类型中的属性
一、配置接口的网络类型
ospf network-type {broadcast | nbma | p2mp | p2p}
二、配置P2MP网络属性
system-view
interface interface-type interface-number 进入要配置为P2MP网络类型的接口
ospf network-type p2mp 配置以上接口为P2MP网络类型。P2MP网络类型必须是由其他的网络类型强制更改的。
quit
ospf [process-id] 启动对应OSPF进程
filter-lsa-out peer ip-address {all | {summary [acl {acl-number | acl-name}] | ase [acl {acl-number | acl-name}] | nssa [acl {acl-number | acl-name}]} *} 配置在P2MP网络中对发送的LSA进行过滤。ip-address指定要过滤发送LSA的P2MP邻居的IP地址;all指定对除Grace-LSA之外的所有LSA进行过滤;summary指定对Type3LSA进行过滤;ase指定对Type5LSA进行过滤;nssa对Type7LSA进行过滤。GR(Graceful Restart,平滑启动)是一种冗余容错技术,被广泛使用在主备切换和系统升级方面。
三、配置NBMA网络属性
system-view
interface interface-type interface-number 进入要配置为NBMA网络类型的接口
ospf network-type nbma 配置以上接口为NBMA网络类型。
ospf timer poll interval 配置NBMA网络上发送轮询Hello报文的时间间隔。轮询Hello报文的发送时间间隔值至少应为Hello报文发送时间间隔的4倍。
quit
ospf [process-id] 启动对应OSPF进程
peer ip-address [dr-priority priority] 配置NBMA网络的邻居,dr-priority priority指定相邻设备的优先级,通过此命令设置对端设备的DR选举的优先级,必须与本端设备的DR的优先级一致。
配置OSPF的Stub/Totally Stub/NSSA/TotallyNSSA区域
一、配置OSPF的Stub/TotallyStub区域
system-view
ospf [process-id] 启动对应的OSPF进程
area area-id 进入要配置为stub区域的区域,进入OSPF区域视图
stub 配置当前区域为Stub区域。需要在区域内所有路由器上配置,包括该区域中唯一的ABR。所有连接到Stub区域的路由器必须使用stub命令将该区域配置成stub区域属性。
stub no-summary 在Stub区域ABR上禁止向Stub区域内发送Type3LSA。这时Stub区域就成了Totally Stub区域。
default-cost cost 在Stub区域ABR上配置发送到Stub区域缺省路由的开销。cost用来配置为发送到stub区域的Type3缺省路由的开销。当然必须 在本地路由表中已存在该缺省路由。
二、配置OSPF的NSSA/TotallyNSSA区域
system-view
ospf [process-id] 启动对应的OSPF进程
area area-id 进入要配置为NSSA区域的区域,进入OSPF区域视图
nssa [default-route-advertise | flush-waiting-timer interval-value | no-import-route | no-summary | set-n-bit |suppress-forwarding-address | translator-always | translator-interval interval-value | zero-address-forwarding]* 配置当前区域为NSSA区域(其中大部分参数和选项均仅可在ABR或者ASBR上配置)。default-route-advertise:在ASBR上配置产生缺省的Type7 LSA到NSSA区域。在ABR上会自动产生缺省的Type7LSA到NSSA区域。但只有在ASBR上当路由表中存在缺省路由0.0.0.0/0,才会产生Type7LSA缺省路由; flush-waiting-timer:在ASBR上配置向NSSA区域内部路由器发送老化Type5LSA的时间间隔,用以及时清除区域内其他路由器上已经没有用的Type5LSA;no-import-route:当ASBR同时还是ABR时,指定不向NSSA区域泛洪由import-route命令引入的外部路由;no-summary:在ABR上禁止向NSSA区域内发送Type3LSA。这时NSSA区域就成了Totally NSSA区域;set-n-bit :指定在DD报文中设置N-bit位的标志。选择本可选项后,本端路由器会在与邻居路由器同步时,在DD报文中设置N-bit位标志,代表自己是直接连接在NSSA区域;suppress-forwarding-address:在ABR上配置将转换后生成的Type5LSA的FA(Forwarding Address)设置为0.0.0.0(抑制转发地址); translator-always :在ABR上指定转换路由器。允许将NSSA区域中的多个ABR配置成转换路由器(转换路由器是用来将Type7LSA转换为Type5LSA,然后向OSPF路由域中的其他区域进行通告)。 translator-interval :在转化路由器上配置当前转换器失效的时间; zero-address-forwarding:在ABR上配置引入外部路由时将生成的NSSA LSA的FA置为0.0.0.0
default-cost cost 在ABR上配置发送到NSSA区域的Type3LSA的缺省路由的开销。cost用来配置为发送到NSSA其余的Type3缺省路由的开销,当然也必须本地路由表中已存在该缺省路由
配置OSPF安全功能
一、配置OSPF GTSM功能
system-view
ospf valid-ttl-hops hops [vpn-instance vpn-instance-name] 使能OSPF GTSM特性,并配置需要检测TTL值的GTSM策略。
gtsm default-action {drop | pass} 设置未匹配GTSM策略的报文的缺省动作是丢弃还是通过。
gtsm log drop-packet all 打开所有单板的log信息开关,在单板GTSM丢弃报文时记录log信息。
二、配置OSPF安全认证功能
system-view
ospf [process-id] 进入要配置区域认证的OSPF进程
area area-id 进入要配置区域认证的区域ID。
authentication-mode simple [plain plain-text | [cipher] cipher-text] 三选一,配置OSPF区域简单认证模式。
authentication-mode {md5 | hmac-mad5 | hmac-sha256} [key-id {Plain plain-text | [cipher] cipher-text}] 三选一,配置OSPF区域的md5或hmac-md5或hmac-sha256认证模式。
authentication-mode keychain keychain-name 三选一,配置OSPF区域的keychain认证模式。
interface interface-type interface-number 配置接口认证模式,进入要配置接口认证的OSPF接口。
ospf authentication-mode simple [plain plain-text | [cipher] cipher-text] 三选一,配置OSPF接口的简单认证模式。
ospf authentication-mode {md5 | hmac-mad5 | hmac-sha256} [key-id {Plain plain-text | [cipher] cipher-text}] 三选一,配置OSPF接口的md5或hmac-md5或hmac-sha256认证模式。
ospf authentication-mode keychain keychain-name 三选一,配置OSPF接口的keychain认证模式。
调整OSPF的路由选择
一、配置OSPF的接口开销
system-view
interface interface-type interface-number 进入要配置OSPF开销的接口。
ospf cost cost 直接配置接口的OSPF开销。
ospf [process-id] 通过改变带宽参考值间接调整开销,启动对应的OSPF进程
bandwidth-reference value 设置通过公式计算接口开销所依据的带宽参考值。
二、配置等价路由
system-view
ospf [process-id] 启动对应的OSPF进程
maximum load-balancing number 配置最大等价路由数量。
nexthop ip-address weight value 配置OSPF的负载分担优先级。ip-address指定要配置路由优先级的某条等价路由的下一跳IP地址。
三、配置OSPF路由选择规则
rfc1583 compatible
四、抑制接口接收和发送OSPF
silent-interface {all | interface-type interface-number}
控制OSPF路由信息的发布和接收
一、配置OSPF引入外部路由
system-view
ospf [process-id]
import-route {limit limit-number | {bgp [permit-ibgp] | direct | unr | rip [process-id-rip]|static | isis [process-id-isis] | ospf [process-id-ospf] } [cost cost | type type | tag tag | route-policy route-policy-name]*} 引入其他路由协议学习到的非缺省路由信息。limit:指定在一个OSPF进程中可引入的最大外部路由数量;direct:引入直连路由;unr:指定引入UNR(User Network Route,用户网络路由),UNR主要用在用户上线过程中由于无法使用动态路由协议时给用户分配的路由;cost:指定引入后的外部路由开销值;type指定引入后的外部路由的类型,取值为1(代表第一类外部路由)或2(代表第二类外部路由),缺省是2。
default {cost {cost-value | inherit-metric} | limit limit | tag tag | type type}* 对于没有再上一步为引入的外部路由配置开销值、引入的路由条数、标记和外部路由类型等参数的外部路由,可以统一配置引入外部路由时的参数缺省值。inherit-metric:指定引入的外部路由的开销为路由自带的开销值。
二、配置OSPF将缺省路由通告到OSPF区域
system-view
ospf [process-id]
default-route-advertise [[always | permit-calculate-other] | cost cost | type type | route-policy route-policy-name [match-any]]* 在ASBR上将缺省路由通告到OSPF路由区域。配置后,ASBR将产生一个Link State ID为0.0.0.0,网络掩码为0.0.0.0的ASE LSA(Type 5),并且通告到整个OSPF区域中。always:指定无论本机是否存在激活的非OSPF缺省路由,OSPF协议本身都将在整个区域中产生并通告一条OSPF缺省路由,不再计算来自其他设备的缺省路由,如果不选择此可选项,则OSPF设备将不会生成缺省路由;permit-calculate-other:指定在OSPF发布自己的缺省路由后,当本机存在激活的非OSPF缺省路由时仍允许计算来自于其他设备的缺省路由。如果既没有选择permit-calculate-other也没有选择always,不再计算来自其他设备的缺省路由,如果ASBR上已经有缺省酷游,将在整个OSPF区域中通告该缺省路由;match-any:指定在OSPF路由表中有匹配的路由表项(不管是否是非OSPF产生的缺省路由表项)时就按路由策略所配置的参数发布缺省路由。如果有多条路由通过策略,选取最优者来生成缺省LSA。
default-route-advertise summary cost cost 在ABR上发布指定开销的缺省路由的Type3 LSA,但必须首先使能VPN,否则缺省路由不能发布。仅用于发布Type3缺省路由到普通OSPF区域。
三、配置OSPF路由聚合
system-view
ospf [process-id]
以下为在ABR上配置路由聚合
area area-id 进入ABR所连接的,要配置路由聚合的区域。
abr-summary ip-address mask [[advertise | not-advertise] | cost cost]* 配置ABR对区域内路由进行路由聚合(不能聚合不同区域中的路由)。ABR向其他区域发送路由信息时,是以网段为单位生成type3 LSA。当区域中存在连续的网段(具有相同前缀的路由信息)时,可以通过本命令将这些网段聚合成一个网段,这样,ABR只需向其他区域发送一条聚合后的LSA,而不用单独发送,从而减少路由表的规模。advertise:指定同时向被聚合区域和其他区域发布这条聚合路由;not-advertise:指定不向其他区域发布这条聚合路由,仅向被聚合区域通告这条聚合路由。
以下为在ASBR上配置路由聚合
asbr-summary ip-address mask [ not-advertise] | tag tag | cost cost | distribute-delay interval]* 设置ASBR对OSPF引入的外部路由进行路由聚合(如果ASBR同时是ABR,则还可进行上面的ABR上的路由聚合配置)。not-advertise:设置不向区域内发布该聚合路由,如果不选择此项,则向区域内发布该聚合路由。distribute-delay:指定延迟发布该聚合路由的时间。
四、配置OSPF对接收和发布的路由进行过滤
system-view
ospf [process-id]
filter-policy {acl-number | acl-name acl-name | ip-prefix ip-prefix-name | route-policy route-policy-name [secondary]} import 在任意OSPF路由器上配置接收路由的过滤,按照过滤策略设置OSPF对接收的路由进行过滤。
filter-policy {acl-number | acl-name acl-name | ip-prefix ip-prefix-name } export [protocol [process-id]] 在ASBR上配置发布路由的过滤,在ASBR上配置对通过import-route命令引入的外部路由进行过滤,只有通过过滤的外部路由才能被发布出去。
五、配置对发送的LSA进行过滤
ospf filter-lsa-out {all | {summary [acl {acl-number | acl-name}] |ase [acl {acl-number | acl-name}] | nssa [acl {acl-number | acl-name}]}*}
六、配置对ABR Type3 LSA进行过滤
system-view
ospf [process-id]
area area-id 进入要配置Type3 LSA过滤的区域。
filter {acl-number | acl-name acl-name | ip-prefix ip-prefix-name | route-policy route-policy-name} export 对本区域出方向(也就是发送方向)的Type3 LSA进行过滤。
filter {acl-number | acl-name acl-name | ip-prefix ip-prefix-name | route-policy route-policy-name} import 对本区域入方向(也就是接收方向)的Type3 LSA进行过滤。
可使用display ospf [process-id] interface [all | interface-typeinterface-number] [verbose]查看OSPF接口上的各种过滤配置信息;使用display ospf [process-id] asbr-summary [ip-address mask]查看OSPF ASBR聚合路由信息。
调整OSPF网络收敛性能
一、调整OSPF网络收敛性能的配置任务
system-view
ospf [process-id] 在ABR上启动对应的OSPF进程
prefix-priority {critical | high | medium } ip-prefix ip-prefix-name 配置OSPF路由的收敛优先级。critical | high | medium :指定本进程中符合参数ip-prefix-name指定的OSPF路由的计算优先级分别为关键、高、中。
lsa-originate-interval {0 | {intelligent-timer max-interval start-interval hold-interval |other-type interval}*} 设置OSPF LSA的更新时间间隔。intelligent-timer:指定通过智能定时器分别设置更新OSPF Router LSA和Network LSA的最长间隔时间、初始间隔时间和基数间隔时间;other-type:指定设置除OSPF Router LSA和Network LSA外的LSA的更新时间间隔。
lsa-arrival-interval {interval | intelligent-timer max-interval start-interval hold-interval } 设置OSPF LSA接收的间隔时间。
spf-schedule-interval {interval | intelligent-timer max-interval start-interval hold-interval | millisecond interval2 } 设置OSPF路由计算时间间隔。
quit
interface interface-type interface-number
ospf timer hello interval 设置接口发送Hello报文的时间间隔,要确定接口和邻接设备的本参数保持一致。
ospf timer dead interval 配置OSPF的邻居失效时间。必须大于上一步配置的发送Hello报文的时间间隔hello interval,且同一网段上的设备的本参数值必须相同。
ospf smart-discover 在接口上使能Smart-discover功能。设备的邻居状态或多址网络上的DR、BDR发生变化时,不必等到Hello定时器到时,就立刻主动向邻居发送Hello报文。
配置OSPF与BFD联动
1)配置接口的网络层地址,使各相邻节点网络层可达;2)配置OSPF的基本功能。
system-view
bfd 配置全局BFD功能
quit
ospf [process-id] 进入OSPF视图
bfd all-interfaces enable 打开OSPF BFD特性的开关,建立BFD会话。这样,当配置了全局BFD特性,且邻居状态达到Full时,OSPF为该进程下所有具有邻接关系的邻居建立BFD会话。
bfd all-interfaces {min-rx-interval receive-interval | min-tx-interval transmit-interval | detect-multiplier multiplier-value | frr-binding}* 指定需要建立BFD会话的各个参数值。 frr-binding:将BFD会话状态与接口的链路状态进行绑定。当BFD会话状态变为Down时,接口的物理层链路状态也会变为Down。
quit
interface interface-type interface-number 进入要阻止动态BFD会话的接口
ospf bfd block 阻止接口动态创建BFD会话。
quit
interface interface-type interface-number 进入要使能BFD特性的OSPF接口
ospf bfd enable 打开接口BFD特性的开关,建立BFD会话
ospf bfd {min-rx-interval receive-interval | min-tx-interval transmit-interval | detect-multiplier multiplier-value | frr-binding}*
IS-IS基本功能配置与管理
一、创建IS-IS进程
system-view
isis [process-id] [vpn-instance vpn-instance-name] 创建IS-IS进程,使能IS-IS协议。
description description 配置IS-IS进程 的描述信息。
二、配置网络实体名称
network-entity net
三、配置全局Level级别
isis circuit-level [level-1 | level-1-2 | level-2] 修改接口的Level级别。
is-level{level-1 | level-1-2 | level-2}
四、建立IS-IS邻居
广播网络中IS-IS邻居建立配置
system-view
interface interface-type interface-number 进入要建立IS-IS邻居的广播类型IS-IS接口
isis enable [process-id] 在接口上使能IS-IS功能,并指定要关联的IS-IS进程号。一个接口只能与一个IS-IS进程相关联。在全局使能IS-IS功能后,还必须在对应的IS-IS接口上使能IS-IS功能,否则接口仍然无法使用IS-IS协议。
isis circuit-level [level-1 | level-1-2 | level-2] 配置IS-IS路由器的接口链路类型。
isis dis-priority priority [level-1 | level-2] 设置接口在进行DIS选举时的优先级。
isis silent [advertise-zero-cost] 配置IS-IS接口为抑制状态,即抑制该接口接收和发送IS-IS报文,但此接口所在网段的直连路由仍可以通过IS-IS被发布出去。当IS-IS网络与其他自治系统连接时,为了让区域内的路由器学到出口路由,需要在该出口上使能IS-IS协议。但这同时会让该出接口向其所在网段发布IS-ISHello报文,使其他自治系统也可以学习到IS-IS网络的路由,为避免IS-IS引入其他系统的流量,可启用IS-IS接口抑制功能,使该接口仅使能IS-IS功能,但不接收和发布IS-IS报文。
P2P网络中IS-IS邻居建立配置
system-view
interface interface-type interface-number 进入要建立P2P邻居的 P2P IS-IS接口
isis enable [process-id] 在接口上使能IS-IS功能,并指定要关联的IS-IS进程号。
isis circuit-level [level-1 | level-1-2 | level-2] 配置IS-IS路由器的接口链路类型。
isis circuit-type p2p 将IS-IS广播网接口的网络类型模拟为P2P类型。
isis ppp-negotiation {2-way| 3-way [ only ] } 指定在建立邻接关系时采用的PPP协商类型。
isis peer-ip-ignore 配置对接收的Hello报文不作IP地址检查。
isis ppp-osicp-check 配置PPP链路协议的接口检查OSICP(开放系统互联控制协议,相当于TCP/IP网络中的TCP)协商状态。本命令仅适用于OSI网络。
五、配置IS-IS主机名映射
1、配置动态主机名映射
is-name symbolic-name
2、配置静态主机名映射
is-name map system-id symbolic-name
IS-IS路由聚合
一、配置IS-IS路由聚合
summary ip-address mask [avoid-feedback | generate_null0_route | tag tag | [level-1 | level-1-2 | level-2]]*
控制IS-IS的路由信息交互
一、配置IS-IS发布缺省路由
default-route-advertise [always| match default | route-policy route-policy-name] [costcost |tag tag | [level-1 | level-1-2 |level-2]]* [avoid-learning]
二、配置IS-IS引入外部路由
①当需要对引入路由的开销进行设置时,可在对应IS-IS进程下通过:import-route { {rip |isis | ospf} [process-id] | static| direct | unr | bgp [permit-ibgp] } [cost-type {external |internal} | cost cost | tag tag | route-policy route-policy-name | [level-1|level-2 | level-1-2]]*命令配置。
②当需要保留引入路由的原有开销时,可在对应IS-IS进程下通过import-route{ {rip | isis | ospf} [process-id] |direct | unr |bgp } inherit-cost [tag tag |route-policy route-policy-name| [level-1 |level-2 | level-1-2]]*命令配置IS-IS引入外部路由。但此时引入的源路由协议不能是static(静态路由)。
三、配置IS-IS发布外部路由过滤
filter-policy {acl-number | acl-name acl-name | ip-prefix ip-prefix-name | route-policy route-policy-name} export [protocol [process-id]]
四、配置IS-IS路由下发IP路由表过滤
filter-policy {acl-number | acl-name acl-name | ip-prefix ip-prefix-name |route-policy route-policy-name} import
控制IS-IS的路由选路
一、配置IS-IS协议的优先级
preference {preference | route-policy route-policy-name}*
二、配置IS-IS接口的开销
1、配置IS-IS接口开销类型
cost-style {narrow | wide | wide-compatible | { {narrow-compatible |compatible} [relax-spf-limit] }}
2、配置接口开销
system-view
isis [process-id] 启动对应的IS-IS进程
方式1:全局开销配置
circuit-cost {cost | maximum} [level-1 | level-2] 配置IS-IS全局开销。
方式2:自动计算开销配置,仅适用于wide或wide-compatible开销类型的接口
bandwidth-reference value 配置计算带宽的参考值,单位是Mbit/s
auto-cost enable 使能自动计算接口的开销值。
方式3:接口开销配置
quit
interface interface-type interface-number 进入要配置开销的IS-IS接口
isis cost {cost | maximum} [level-1 | level-2] 为IS-IS接口设置具体的开销。
三、配置IS-IS对等价路由的处理方式
system-view
isis [process-id] 启动对应的IS-IS进程
方式1:配置负载分担方式
maximum load-balancing number 配置在负载分担方式下的等价路由的最大数量。当存在的等价路由数量大于本命令配置的等价路由数量时,按如下原则选取有效路由进行负载分担:路由优先级、接口索引下一跳IP地址。
方式2:配置等价路由优先级
nexthop ip-address weight value 配置指定等价路由的优先级。
四、配置IS-IS路由渗透
1、配置L2区域的路由渗透到L1区域
import-route isis level-2 into level-1 [tag tag| filter-policy {acl-number |acl-name acl-name | ip-prefix ip-prefix-name |route-policy route-policy-name}]*
2、配置L1区域的路由渗透到L2区域(注意,默认L1向L2渗透,即全部到L2,这里是配置使部分到L2)
import-route isis level-1 into level-2 [tag tag | filter-policy {acl-number| acl-name acl-name | ip-prefix ip-prefix-name | route-policy route-policy-name}]
五、控制Level-1设备是否生成缺省路由
1、在L1/2路由器上配置发布的LSP报文中ATT比特位的置位情况
attached-bit advertise {always | never}
2、在L1路由器上设置不生成缺省路由
attached-bit avoid-learning
调整IS-IS路由的收敛性能
一、配置Hello报文参数
system-view
interface interface-type interface-number 进入要配置Hello报文发送时间间隔的IS-IS接口,需要先通过isis enable命令在该接口上使能IS-IS功能。
isis timer hello hello-interval [level-1 | level-2] 配置接口上Hello报文的发送间隔。没有配置Level,则同时作用于level-1和level-2报文。
isis timer holding-multiplier number [level-1 | level-2] 配置Hello报文的发送间隔时间的倍数。
二、配置LSP报文参数
system-view
isis [process-id]
lsp-length {originate | receive } max-size 配置当前IS-IS路由器生成的LSP报文的最大长度和接收LSP报文的最大长度。配置的生成的LSP报文的最大长度必须小于或等于所配置的接收的LSP报文的最大长度。
timer lsp-max-age age-time 配置当前IS-IS进程生成的LSP的最大有效时间。
timer lsp-refresh refresh-time 配置LSP的刷新周期。
flash-flood [lsp-count | max-timer-interval interval | [level-1 | level-2]] 使能LSP报文的快速扩散特性,以便加快IS-IS网络的收敛速度。
timer lsp-generation max-interval [init-interval [incr-interval]] [level-1 | level-2] 配置LSZP生成智能定时器。
quit
interface interface-type interface-number 进入要配置LSP报文参数的IS-IS接口。
isis timer lsp-throttle throttle-interval [count count] 配置IS-IS接口发送LSP报文的最小间隔时间和此时间内发送的最大的报文数。
isis circuit-type p2p 将IS-IS广播网接口的网络类型模拟为P2P类型。
isis timer lsp-retransmit retransmit-interval 配置点到点连路上LSP报文的重传间隔时间。
三、配置CSNP报文参数
isis timer csnp csnp-interval [level-1 | level-2]
四、调整SPF的计算时间间隔
system-view
isis [process-id]
timer spf max-interval [init-interval [incr-interval]] 设置SPF计算智能定时器
spf-slice-size duration-time 配置IS-IS每次路由计算的最大持续时间。
五、配置IS-IS路由按优先级收敛
system-view
isis [process-id]
prefix-priority [level-1 | level-2] {critical | high | medium} {ip-prefix prefix-name | tag tag-value} 配置IS-IS路由(包括主机路由和缺省路由)的收敛优先级。
quit
ip route prefix-priority-scheduler critical-weight high-weight medium-weight low-weight 配置IPv4路由按优先级调度的比例。
提高IS-IS网络的安全性
一、配置IS-IS接口认证
system-view
interface interface-type interface-number 进入要配置接口认证的IS-IS接口,需先通过isis enable使能该接口的IS-IS功能。
isis authentication-mode simple {plain plain-text | [cipher] plain-cipher-text} [level-1 | level-2] [ip | osi] [send-only] 四选一,配置IS-IS接口的简单认证模式
isis authentication-mode md5 {plain plain-text | [cipher] plain-cipher-text} [level-1 | level-2] [ip | osi] [send-only] 四选一,配置IS-IS接口的MD5认证模式
isis authentication-mode hmac-sha256 key-id key-id {plain plain-text | [cipher] plain-cipher-text} [level-1 | level-2] [ip | osi] [send-only] 四选一,配置IS-IS接口的HMAC-SHA256认证模式
isis authentication-mode keychain keychain-name [level-1 | level-2] [send-only] 四选一,配置IS-IS接口的Keychain认证模式
二、配置区域或路由域的认证
system-view
isis
area-authentication-mode {{simple | md5} {plain plain-text | [cipher] plain-cipher-text} [ip | osi] | keychain keychain-name | hmac-sha256 key-id key-id} [snp-packet {authentication-avoid | send-only} | all-send-only] 配置区域认证模式,设置IS-IS区域按照预定的方式和密码认证收到的L1路由信息报文(LSP和SNP),并为发送的L1报文加上认证信息。
domain-authentication-mode {{simple | md5} {plain plain-text | [cipher] plain-cipher-text} [ip | osi] | keychain keychain-name | hmac-sha256 key-id key-id} [snp-packet {authentication-avoid | send-only} | all-send-only] 设置IS-IS路由域中按照预设的方式和密码认证收到的L2路由信息报文,并在发送的L2区域报文中添加认证信息。
配置IS-IS与BFD联动
IS-IS与静态BFD联动配置
system-view
bfd 使能全局BFD功能
quit
bfd session-name bind peer-ip ip-address [interface interface-type interface-number] 创建BFD绑定。指定对端IP和本端接口,表示检测单跳链路,即检测以该接口为出接口、以peer-ip为下一跳地址的一条固定路由。
discriminator local discr-value 配置BFD会话的本地标识符。
discriminator remote discr-value 配置BFD会话的源端标识符。
commit
interface interface-type interface-number 进入要绑定BFD会话的IS-IS接口
isis bfd static 使能指定IS-IS接口的静态BFD特性
配置IS-IS与动态BFD联动
system-view
bfd 使能全局BFD功能
quit
isis process-id 启动对应的IS-IS进程
bfd all-interfaces enable 在IS-IS进程下使能所有的IS-IS接口的BFD特性
方式1:在IS-IS进程下全局配置IS-IS与BFD联动。
bfd all-interfaces {min-rx-interval receive-interval | min-tx-interval transmit-interval | detect-multiplier multiplier-value | frr-binding}* 指定用于建立BFD会话的各个参数值。
quit
interface interface-type interface-number 进入要禁止BFD特性的IS-IS接口
isis bfd block 阻止IS-IS接口动态创建BFD会话的功能。
方式2:在指定接口下配置IS-IS与动态BFD联动。
quit
interface interface-type interface-number 进入要使能BFD特性的IS-IS接口
isis bfd enable 使能以上IS-IS接口的BFD特性
isis bfd {min-rx-interval receive-interval | min-tx-interval transmit-interval | detect-multiplier multiplier-value | frr-binding}* 在指定接口上配置BFD会话的参数值。
BGP的基本功能配置
一、启动BGP进程
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
router-id ipv4-address 配置BGP设备的Router ID。
二、配置BGP对等体
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
peer ipv4-address as-number {as-number-plain | as-number-dot} 创建BGP对等体。
peer ipv4-address connect-interface interface-type interface-number [ipv4-source-address] 指定BGP对等体之间建立TCP连接会话的源接口和源地址。
peer ipv4-address ebgp-max-hop [hop-count] 指定建立EBGP连接(不能是IBGP连接)允许的最大跳数,以允许BGP与非直连网络上的设备建立EBGP对等体连接。最大跳数为1,表示建立的是直连EBGP连接,则不能与非直连网络上的设备建立EBGP对等体连接。当BGP使用Loopback口建立EBGP对等体时,必须指定本参数>=2,否则邻居无法建立。
peer ipv4-address description description-text 配置对等体的描述信息
ipv4-family multicast 使能BGP的IPv4组播地址族,并进入BGP的IPv4组播地址族视图。仅当在IPv4组播网络中配置BGP对等体才需要配置。
peer ipv4-address enable 为BGP对等体使能MP-BGP功能,使之成为MP-BGP对等体(具体使能的是哪种对等体,要视本命令是在哪个地址族视图下配置的)。仅当需要在非BGP-IPv4单播地址族下建立BGP对等体时才需要配置本步骤,因为BGP-IPv4单播地址族下的对等体功能是缺省使能的。
三、配置BGP对等体组
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
group group-name [external | internal] 创建对等体组。如果BGP对等体组内的对等体在某属性配置上与其所加入的对等体组上的相同属性配置不一致,则当在恢复该对等体上对应属性配置时,该对等体会从对其所加入的对等体组上继承对应属性配置。
peer group-name as-number {as-number-plain | as-number-dot} 配置EBGP对等体组的AS号,如果是IBGP对等体组则不用配置本步骤。要求所有对等体组成员都处于同一个AS中。
peer ipv4-address group group-name 向对等体组中加入对等体,但如果是向EBGP对等体组中加入EBGP对等体,则需先配置好各个EBGP对等体,再配置本步骤;如果是向IBGP对等体组中加入IBGP对等体,可直接进行本步骤。
peer group-name connect-interface interface-type interface-number [ipv4-source-address] 指定本地设备与BGP对等体组中的对等体成员之间建立TCP连接会话的源接口和源IP地址。配置本命令后,本地设备与所有对等体组成员之间的TCP连接会话使用相同的源接口和源IP地址。
peer group-name ebgp-max-hop [hop-count] 指定本地设备与BGP对等体组中的对等体成员建立EBGP连接(不能是IBGP连接)时所允许的最大跳数,以允许BGP与非直连网络上的设备建立EBGP对等体连接。
peer group-name description description-text 配置对等体组的描述信息
ipv4-family multicast 使能BGP的IPv4组播地址族,并进入BGP的IPv4组播地址族视图。仅当在IPv4组播网络中配置BGP对等体才需要配置。
peer group-name enable 为指定BGP对等体组使能MP-BGP功能,使之成为MP-BGP对等体组。仅当需要在非BGP-IPv4单播地址族下建立BGP对等体组时才需要配置。因为BGP-IPv4单播地址族下的对等体组功能是缺省使能的。
四、配置BGP引入路由
通过import方式引入路由
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast} 进入要引入路由的对应的IP地址族视图。缺省进入BGP-IPv4单播地址族视图。
import-route protocol [process-id] [med med | route-policy route-policy-name] * 配置BGP引入其他协议的路由(但不包括各种缺省路由)。
default-route imported 将本地IP路由表中的其他协议的缺省路由(包括静态缺省路由,以及RIP、OSPF缺省路由)引入本地BGP路由表中。如果需要在本地IP路由表中不存在缺省路由的情况下,而又需要向对等体(组)发布缺省路由,则需要使用peer default-route-advertise命令。
通过network方式引入路由
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast} 进入要引入路由的对应的IP地址族视图。缺省进入BGP-IPv4单播地址族视图。
network ipv4-address [mask | mask-length] [route-policy route-policy-name] 将IP路由表中的路由(可以是各种路由,最终引入的是哪种协议的路由要视路由的优先级而定)以静态方式加入到BGP路由表中,并发布给对等体。bml用来发布精确匹配的路由。即,指定的目的地址和前缀长度必须与本地IP路由表中对应的表项完全一致,路由才能正确发布。如果网络掩码没有指定,此路由将被按照自然网段精确匹配。
BGP路由选路和负载分担配置
一、配置BGP协议优先级
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast} 进入要配置BGP协议优先级的对应IP地址族视图。BGP路由在不同的地址族下可分配不同的协议优先级。
preference {external internal local | route-policy route-policy-name} 配置EBGP、IBGP、本地路由的协议优先级。local指定BGP本地路由的协议优先级。本地路由是指通过聚合命令(summary automatic自动聚合和aggregate手动聚合)所聚合的路由。
二、配置Next_Hop属性
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast} 进入要配置BGP Next_Hop属性的对应IP地址族视图。BGP路由在不同的地址族下可分配不同的Next_Hop属性。
peer {ipv4-address | group-name} next-hop-local 配置IBGP设备向IBGP对等体(组)发布来自EBGP对等体的路由时,把下一跳地址设为自身的IP地址。缺省不修改。
nexthop recursive-lookup route-policy route-policy-name 配置BGP按路由策略对从IBGP对等体收到的路由进行下一跳迭代。对于从直连EBGP对等体收到的路由,本命令不起作用。
peer {group-name | ipv4-address} next-hop-invariable 在IPv4单播地址族下配置发布引入的IGP路由时不改变该IGP路由的下一跳地址。
三、配置BGP路由首选值
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast} 进入要配置BGP 路由信息首选值的对应IP地址族视图。BGP路由在不同的地址族下可分配不同的BGP路由信息首先值。
peer {ipv4-address | group-name} preferred-value value 为从指定对等体学来的所有路由配置首先值。但在为对等体分配首先值之前必须先配置BGP对等体。
四、配置本机缺省Local_Pref属性
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast} 进入要配置Local_Pref属性的对应IP地址族视图。BGP路由在不同的地址族下可分配不同的Local_Pref属性。
default local-preference local-preference 配置本地BGP路由器缺省的本地优先级属性值。
五、配置AS_Path属性
system-view
route-policy route-policy-name {deny | permit } node node 创建路由策略的节点,并进入路由策略视图
配置路由策略匹配规则,只有满足匹配规则的路由才会改变AS_Path属性。
apply as-path {as-number-plain | as-number-dot} &<1-10> {additive | overwrite} 设置BGP路由的AS_Path属性。
quit
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图
ipv4-family {unicast | multicast} 进入要配置AS_Path属性的对应IP地址族视图。BGP路由在不同的地址族下可分配不同的AS_Path属性。
peer {ipv4-address | group-name} route-policy route-policy-name export 通过策略路由对向对等体(组)发布的路由配置指定AS_Path属性。
peer {ipv4-address | group-name} route-policy route-policy-name import 通过策略路由对向对等体(组)接收的路由配置指定AS_Path属性。
import-route protocol [process-id] route-policy route-policy-name 通过路由策略对在BGP路由器上以import方式引入的路由配置指定的AS_Path属性。
network ipv4-address [mask | mask-length] route-policy route-policy-name 通过路由策略对在BGP路由器上以Network方式静态引入的路由配置指定的AS_Path属性。
bestroute as-path-ignore 配置BGP在选择最优路由时忽略AS路径属性。
peer {group-name |ipv4-address} allow-as-loop [number] 配置允许在从对等体(组)接收的路由的AS_Path列表中本地AS编号重复出现,number配置重复的次数。
peer {group-name |ipv4-address} public-as-only 配置向对等体(组)发送BGP更新报文时AS_Path属性不携带私有AS号,仅携带公有AS号。有两种情况,配置本命令也不会删除私有AS号:路由的AS_Path中含有对端的AS号时,如果删除私有AS号,可能会造成路由环路;AS_Path中同时含有公有AS和私有AS。表名路由已经经过了公网,如果删除私有AS,可能造成转发错误。
quit
as-path-limit as-path-limit-num 配置AS_Path属性中AS号的最大个数。
peer {group-name |ipv4-address} fake-as {as-number-plain | as-number-dot} 配置指定EBGP对等体采用伪AS编号与本端建立连接。
undo check-first-as 取消检查EBGP对等体发来的更新消息中AS_Path属性的第一个AS号。
六、配置MED属性
system-view
route-policy route-policy-name {deny | permit } node node 创建路由策略的节点,并进入路由策略视图
配置路由策略匹配规则,只有满足匹配规则的路由才会改变MED属性。
apply cost [+ | -] cost 在路由策略中配置改变路由的开销值(在BGP中就是MED属性值)的动作。
quit
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图
ipv4-family {unicast | multicast} 进入要配置MED属性的对应IP地址族视图。BGP路由在不同的地址族下可分配不同的MED属性。
default med med 配置本地BGP路由的缺省MED值(本地所有没有专门配置MED属性值的BGP路由具有相同的MED属性值)。MED值仅在相邻两个AS之间传递,收到此属性的AS一方不会再将其通告给任何其他第三方AS。
bestroute med-none-as-maximum 配置BGP在选择最优路由时,如果路由属性中没有MED属性值,则把MED属性值按最大值来处理。
compare-different-as-med 配置允许比较来自不同自治系统中的邻居的路由的MED值。
deterministic-med 使能BGP deterministic-med功能,使在路由选路时优先比较AS_Path最左边的AS号(也就是离本地设备最近一个AS)相同的路由。
bestroute med-confederation 配置BGP在选择最优路由时,仅在联盟内比较MED属性值。
peer {ipv4-address | group-name} route-policy route-policy-name export 通过策略路由对向对等体(组)发布的路由配置指定MED属性。
peer {ipv4-address | group-name} route-policy route-policy-name import 通过策略路由对向对等体(组)接收的路由配置指定MED属性。
import-route protocol [process-id] route-policy route-policy-name 通过路由策略对在BGP路由器上以import方式引入的路由配置指定的MED属性。
network ipv4-address [mask | mask-length] route-policy route-policy-name 通过路由策略对在BGP路由器上以Network方式静态引入的路由配置指定的MED属性。
七、配置BGP团体属性
system-view
route-policy route-policy-name {deny | permit } node node 创建路由策略的节点,并进入路由策略视图
配置路由策略匹配规则,只有满足匹配规则的路由才会改变团体属性。
apply community {community-number | aa:nn | internet | no-advertise | no-export | no-export-subconfed} &<1-32> [additive] 配置BGP路由信息的团体属性。
apply extcommunity {rt {as-number:nn | 4as-number:nn| ipv4-address:nn}} &<1-16> [additive] 配置BGP扩展团体属性(Route-Target)。
quit
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图
ipv4-family {unicast | multicast} 进入要配置团体属性的对应IP地址族视图。BGP路由在不同的地址族下可分配不同的团体属性。
peer {ipv4-address | group-name} route-policy route-policy-name export 通过策略路由对向对等体(组)发布的路由配置指定团体属性。
peer {ipv4-address | group-name} route-policy route-policy-name import 通过策略路由对向对等体(组)接收的路由配置指定团体属性。
import-route protocol [process-id] route-policy route-policy-name 通过路由策略对在BGP路由器上以import方式引入的路由配置指定的团体属性。
network ipv4-address [mask | mask-length] route-policy route-policy-name 通过路由策略对在BGP路由器上以Network方式静态引入的路由配置指定的团体属性。
peer {ipv4-address | group-name} advertise-community 配置允许将团体属性传给对等体或对等体组。
peer {ipv4-address | group-name | ipv6-address} advertise-ext-community 配置允许将扩展团体属性传给对等体或对等体组。
八、配置BGP负载分担
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图
ipv4-family {unicast | multicast} 进入要配置BGP负载分担的对应IP地址族视图。BGP路由在不同的地址族下可分别配置不同的负载分担配置。
maximum load-balancing [ebgp | ibgp] number 设置形成负载分担的等价路由的最大条数。
load-balancing as-path-ignore 设置路由在形成负载分担时不比较路由的AS-path属性。
简化IBGP网络连接
一、配置BGP路由反射器
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast } 进入要配置路由反射器的对应IP地址族视图,BGP路由在不同的地址族视图下可分别配置不同的路由反射器配置。
peer {ipv4-address | group-name} reflect-client 配置将本机作为路由反射器,并将对等体(组)作为路由反射器的客户。
reflector cluster-id cluster-id 配置路由反射器的集群ID。需要为同一集群内所有的路由反射器配置相同的集群ID。集群ID不能和集群内某客户机的Router ID相同。
undo reflect between-clients 禁止客户机之间的路由反射。
bgp-rib-only [route-policy route-policy-name] 禁止BGP将优选的路由发下到IP路由表。
二、配置BGP联盟
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
confedration id {as-number-plain | as-number-dot} 配置联盟ID
confedration peer-as {as-number-plain | as-number-dot} &<1-32> 指定与本地设备属于同一个联盟,但有直接连接的对端子AS号。
confedration nonstandard 配置联盟中的标准设备可与非标准设备互通。
控制BGP路由的发布和接收
一、控制BGP路由发布
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast } 进入要控制BGP路由发布的对应IP地址族视图,BGP路由在不同的地址族视图下可分别配置不同的路由发布控制配置。
方式一:基于全局的路由发布控制配置:
filter-policy {acl-number | acl-name acl-name | ip-prefix ip-prefix-name} export [protocol [process-id]] 配置对发布的路由进行过滤,只有通过过滤的路由才被BGP发布。
方式二:基于特定对等体(组)的路由发布控制
peer {group-name | ipv4-address} filter-policy {acl-number | acl-name acl-name} export 四选一:配置基于ACL向指定对等体(组)发布路由时的过滤策略。
peer {ipv4-address | group-name} ip-prefix ip-prefix-name export 四选一:配置基于IP地址前缀列表向指定对等体(组)发布路由时应用的过滤策略。
peer {ipv4-address | group-name} as-path-filter {as-apth-filter-number | as-path-filter-name} export 四选一:配置基于AS路径过滤器向指定对等体(组)发布路由时应用的过滤策略。
peer {ipv4-address | group-name} route-policy route-policy-name export 四选一:配置基于路由策略向指定对等体(组)发布路由时应用的过滤策略。
二、控制BGP路由信息的接收
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast } 进入要控制BGP路由接收的对应IP地址族视图,BGP路由在不同的地址族视图下可分别配置不同的路由接收控制配置。
方式一:基于全局的路由接收控制配置:
filter-policy {acl-number | acl-name acl-name | ip-prefix ip-prefix-name} import 配置对接收的路由进行过滤,只有通过过滤的路由才被BGP接收。
方式二:基于特定对等体(组)的路由发布控制
peer {group-name | ipv4-address} filter-policy {acl-number | acl-name acl-name} import 四选一:配置基于ACL从指定对等体(组)接收路由时的过滤策略。
peer {ipv4-address | group-name} ip-prefix ip-prefix-name import 四选一:配置基于IP地址前缀列表对从指定对等体(组)接收路由时应用的过滤策略。
peer {ipv4-address | group-name} as-path-filter {as-apth-filter-number | as-path-filter-name} import 四选一:配置基于AS路径过滤器对从指定对等体(组)接收路由时应用的过滤策略。
peer {ipv4-address | group-name} route-policy route-policy-name import 四选一:配置基于路由策略对从指定对等体(组)接收路由时应用的过滤策略。
peer {group-name | ipv4-address} route-limit limit [percentage] [alert-only | idle-forever | idle-timeout times] 设置允许从对等体收到的路由数量
三、配置BGP软复位
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast } 进入要配置保存原始BGP路由的对应IP地址族视图,仅当要软复位的对等体(组)不支持Route-refresh功能时才需要配置。
peer {ipv4-address | group-name} keep-all-routes 保存自BGP连接建立起来之后的所有来自指定对等体(组)的BGP路由更新信息。
quit
peer {ipv4-address | group-name} capability-advertise route-refresh 使能Route-refresh(路由刷新)能力。
return
refresh bgp [vpn-instance vpn-instance-name ipv4-family | vpnv4] {all | ipv4-address |group group-name | external | internal} {export | import} 手工对指定BGP连接软复位。
四、配置BGP路由聚合
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
ipv4-family {unicast | multicast } 进入要BGP路由聚合的对应IP地址族视图。
方式1:配置自动路由聚合
summary automatic 使能对本地引入的路由进行自动聚合功能。引入的路由可以是直连路由、静态路由、RIP、OSPF、IS-IS路由。对network命令引入的路由无效。按自然网段聚合路由。
方式2:配置手动路由聚合
aggregate ipv4-address {mask | mask-length} 在BGP路由表中创建一条聚合路由,但此时将同时发布所有聚合路由和被聚合的路由。
aggregate ipv4-address {mask | mask-length} detail-suppressed 在BGP路由表中创建一条聚合路由,但此时将只发布聚合路由。
aggregate ipv4-address {mask | mask-length} suppress-policy route-policy-name 在BGP路由表中创建一条聚合路由,但此时只发布聚合路由和通过路由策略的被聚合的路由。
aggregate ipv4-address {mask | mask-length} as-set 在BGP路由表中创建具有AS-SET的聚合路由,用于检测环路。
aggregate ipv4-address {mask | mask-length} attribute-policy route-policy-name 在BGP路由表中创建一条聚合路由,并且可通过route-policy-name参数指定的路由策略配置聚合路由属性。
aggregate ipv4-address {mask | mask-length} origin-policy route-policy-name 在BGP路由表中创建一条聚合路由,但只将通过route-policy-name参数指定的路由策略的路由生成聚合路由。
调整BGP网络的收敛速度
一、配置BGP连接重传定时器
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
timer connect-retry connect-retry-time 配置全局TCP连接重传定时器。
peer {group-name | ipv4-address} timer connect-retry connect-retry-time 配置与指定对等体(组)的TCP连接重传定时器。
二、配置BGP存活时间和保持时间定时器
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
timer Keepalive Keepalive-time hold hold-time [min-holdtime min-holdtime] 配置全局的Keepalive消息发送间隔和保持时间。
peer {ipv4-address | group-name} timer Keepalive Keepalive-time hold hold-time [min-holdtime min-hold-time] 配置对等体(组)的Keepalive消息发送间隔和保持时间。
三、配置BGP更新报文定时器
peer {group-name |ipv4-address} route-update-interval interval
四、配置EBGP连接快速复位
undo ebgp-interface-sensitive
配置BGP安全性
一、配置MD5认证
peer {ipv4-address | group-name} password {cipher cipher-password | simple simple-password}
二、配置Keychain认证
peer {ipv4-address | group-name} keychain keychain-name
三、配置BGP GTSM功能
system-view
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
peer {group-name | ipv4-address} valid-ttl-hops [hops] 在BGP对等体(组)发来的报文检查上应用GTSM功能。GTSM只会对匹配GTSM策略的报文进行TTL检查。GTSM的配置是对称的,需要在BGP连接的两端同时使能GTSM功能。也不能在同一对等体(组)上同时配置peer {group-name | ipv4-address} ebgp-max-hop [hop-count]命令,即不允许建立非直连的EBGP连接。
quit
gtsm default-action {drop | pass} 设置没有匹配GTSM策略的报文的缺省动作。
gtsm log drop-packet [all] 打开当前单板或所有单板的LOG信息开关,在单板GTSM丢弃报文时记录LOG信息。
BGP与BFD联动
一、配置BGP与BFD联动
system-view
bfd 使能全局BFD功能
quit
bgp {as-number-plain | as-number-dot} 启动BGP,进入BGP视图。
peer {group-name | ipv4-address} bfd enable 配置与对等体(组)的建立BFD功能,使用缺省的BFD参数值建立BFD会话。
peer {group-name | ipv4-address} bfd {min-tx-interval min-tx-interval | min-rx-interval min-rx-interval | detect-multiplier multiplier | wtrwtr-value} 指定需要建立BFD会话的各个参数值。
peer ipv4-address bfd block 阻止对等体从对等体组中继承BFD功能。
路由策略配置
配置路由策略过滤器
一、配置地址前缀列表
1、地址前缀列表的配置
ip ip-prefix ip-prefix-name [index index-number] {permit |deny} ipv4-address mask-length [match-network][greater-equal greater-equal-value] [less-equal less-equal-value]
2、地址前缀列表的应用
①本命令通过与下列命令配合使用,可以以地址前缀列表为过滤条件对全局发布的路由信息进行过滤。
●全局过滤发布的RIP路由:filter-policy {acl-number |acl-name acl-name | ip-prefix ip-prefix-name} export [protocol [process-id] |interface-type interface-number]
●全局过滤发布的OSPF路由:filter-policy {acl-number |acl-name acl-name | ip-prefix ip-prefix-name} export [protocol [process-id]]
●全局过滤发布的IS-IS路由:filter-policy {acl-number |acl-name acl-name | ip-prefix ip-prefix-name|route-policy route-policy-name } export [protocol [process-id]]
●全局过滤发布的BGP路由:filter-policy {acl-number |acl-name acl-name | ip-prefix ip-prefix-name} export [protocol [process-id] ]
②本命令通过与下列命令配合使用,可以以地址前缀列表为过滤条件对全局接收的路由信息进行过滤。
●全局过滤接收的RIP路由:filter-policy {acl-number |acl-name acl-name | ip-prefix ip-prefix-name [gateway ip-prefix-name]} import [interface-type interface-number]
●全局过滤接收的OSPF路由:filter-policy {acl-number |acl-name acl-name |ip-prefix ip-prefix-name |route-policy route-policy-name [secondary]} import
●全局过滤接收的IS-IS路由:filter-policy {acl-number |acl-name acl-name |ip-prefix ip-prefix-name|route-policy route-policy-name} import
●全局过滤接收的BGP路由:filter-policy {acl-number |acl-name acl-name |ip-prefix ip-prefix-name} import
③本命令通过与peer {group-name | ipv4-address} ip-prefix ip-prefix-name{import |export}命令配合使用,为特定的BGP对等体配置基于地址前缀列表的过滤器进行路由过滤。
④以地址前缀列表为过滤条件控制IS-IS的Level-1路由向Level-2区域进行路由渗透:import-route isis level-1 into level-2 [filter-policy {acl-number |acl-name acl-name |ip-prefix ip-prefix-name|route-policy route-policy-name} | tag tag]*。
⑤以地址前缀列表为过滤条件控制IS-IS的Level-2路由向Level-1区域进行路由渗透:import-route isis level-2 into level-1 [filter-policy {acl-number |acl-name acl-name |ip-prefix ip-prefix-name|route-policy route-policy-name} | tag tag]*。
⑥本命令通过与if-match ip-prefix ip-prefix-name命令在路由策略中配合使用,以地址前缀列表为路由匹配的条件,对接收或发送的路由进行测试。
3、地址前缀列表的应用情形
地址前缀范围包括两个部分,分别由mask-length和[greater-equal-value,less-equal-value]决定。
Ipv4-address参数值为0.0.0.0时表示通配地址。此时不论掩码指定为多少,都表示掩码长度范围内的所有路由全部被permit或deny。
当匹配的路由目的IP地址为0.0.0.0时,代表为通配地址
二、配置AS路径过滤器
1、AS路径过滤器配置
ip as-path-filter {as-path-filter-number | as-path-filter-name} {deny | permit} regular-expression
2、正则表达式
三、配置团体属性过滤器
基本团体属性过滤器的配置方法是在系统视图下使用ip community-filter {basic comm-filter-name |basic-comm-filter-num}{permit |deny} [community-number |aa:nn |internet |no-export-subconfed |no-advertise| no-export]&<1-20>命令进行的。
高级团体属性过滤器的配置方法是在系统视图下使用ip community-filter {advanced comm-filter-name | adv-comm-filter-num}{permit | deny} regular-expression命令进行的。
配置路由策略
一、创建路由策略
route-policy route-policy-name {permit |deny} node node
二、配置if-match子句
system-view
route-policy route-policy-name {permit | deny} node node 进入路由策略视图
if-match acl {acl-number |acl-name} 匹配基本ACL,创建一个基于ACL的匹配规则。
if-match ip-prefix ip-prefix-name 匹配地址前缀列表,创建一个基于IP地址前缀列表的匹配规则。
if-match as-path-filter {as-path-filter-number &<1-16> | as-path-filter-name} 匹配路由信息的as-path属性过滤器,创建一个基于AS路径过滤器的匹配规则。
if-match community-filter {basic-comm-filter-num [whole-math] | adv-comm-filter-num} &<1-16> 或
if-match community-filter comm-filter-name [whole-match] 匹配路由信息的团体属性过滤器,创建一个基于团体属性过滤器的匹配规则。
if-match cost cost 匹配路由信息的开销值,创建一个基于路由开销的匹配规则。
if-match interface {interface-type interface-number }&<1-16> 匹配路由信息的出接口,创建一个基于出接口的匹配规则。
if-match ip {next-hop | route-source | group-address } {acl {acl-number | acl-name} | ip-prefix ip-prefix-name} 匹配Ipv4的路由信息(下一跳、源地址或组播组地址),创建一个基于IP信息的匹配规则。
if-match route-type {external-type | external-type1or2 | external-type2 | internal | nssa-external-type1 | nssa-external-type1or2 | nssa-external-type2} 匹配OSPF各类型路由信息,创建一个基于OSPF路由类型的匹配规则。
if-match route-type {is-is-level-1 | is-is-level-2 } 匹配IS-IS各level路由信息,创建一个基于IS-IS路由类型的匹配规则。
if-match tag tag 匹配路由信息的标记字段,创建一个基于路由信息标记(Tag)的匹配规则。
三、配置apply子句
system-view
route-policy route-policy-name {permit | deny} node node 进入路由策略视图
apply as-path {as-number-plain | as-number-dot} &<1-10> {additive | overwrite} 或
apply as-path none overwrite 在路由策略中配置改变BGP路由的AS-Path属性的动作。当BGP路由需要改变AS-Path属性来参与路由选择的竞争时,可以应用包含本命令的路由策略,改变匹配成功的BGP路由的AS-Path属性。当到达同一目的地存在多条路由时,BGP会比较路由的AS-Path属性,AS-Path列表较短的路由将被认为是最佳路由。通过替换AS-Path属性隐藏路由的真实路径信息,或者使原本两条不能形成负载分担的路由形成负载分担(替换后与另一条路由的AS-Path属性完全相同)。
apply backup-interface interface-type interface-number 在路由策略中配置创建备份出接口的动作。该命令主要应用于IP FRR(Fast ReRoute,快速重路由)场景,使用本命令可以手动为路由配置一个备份的出接口,在使能IP FRR功能之后,当主用链路发生故障,数据流量可以快速切换到备份出接口。
apply backup-nexthop {ipv4-address | auto} 在路由策略中配置创建备份下一跳的动作。该命令主要应用于手动IP FRR和手动VPN FRR场景,可以手动为路由配置一个备份的下一跳。在使能IP FRR功能之后,当主用链路发生故障,数据流量可以快速切换到备份下一跳。
apply comm-filter {basic-comm-filter-num | adv-comm-filter-num | comm-filter-name} delete 在路由策略中配置删除指定团体属性过滤器中的团体属性的动作。当需要删除几个团体属性时,可通过一条团体属性过滤器配置命令将需要删除的团体属性分条配置到一个团体属性过滤器中,最后应用包含本命令的路由策略删除该团体属性过滤器中的所有团体属性。
apply community {community-number | aa:nn | internet | no-advertise | no-export | no-export-subconfed} &<1-32> [additive] 或
apply community none 在路由策略中配置改变BGP路由团体属性的动作,或者删除全部的BGP路由团体属性。当需要对BGP路由进行分类标识,更好的运用路由策略时,可以应用包含本命令的路由策略,设置匹配成功的BGP路由的团体属性。
apply cost [+ | - ] cost 在路由策略中配置改变路由的开销值的动作。当路由需要改变开销值来参与路由选择的竞争时,可以应用包含本命令的路由策略,改变匹配成功的路由的开销值(值越小,优先级越高)。
apply cost-type {external | internal} 在路由策略中配置改变IS-IS或者BGP路由的开销类型的动作。当路由需要改变开销类型来参与路由选择的竞争时,可以应用包含本命令的路由策略,改变匹配成功的路由的开销类型。
apply cost-type {type1 | type2} 在路由策略中配置改变OSPF路由的开销类型的动作。当路由需要改变开销类型来参与路由选择的竞争时,可以应用包含本命令的路由策略,改变匹配成功的路由的开销类型。
apply ip-address next-hop {ipv4-address | peer-address} 在路由策略中配置改变BGP路由的下一跳地址的动作。当BGP路由需要改变下一跳地址来参与路由选择的竞争时,可以应用包含本命令的路由策略,改变匹配成功的BGP路由的下一跳地址。
apply dampening half-life-reach reuse suppress ceiling 在路由策略中配置改变BGP路由的衰减参数的动作。为了避免在BGP网络中频繁震荡路由对设备的影响,可以在BGP网络中使能衰减功能。应用包含本命令的路由策略,改变匹配成功的BGP路由的衰减参数。
apply isis {level-1 | level-1-2 | level-2} 在路由策略中配置改变引入到IS-IS协议中的路由的级别的动作。为避免IS-IS引入过多外部路由,给运行IS-IS的设备带来额外的负担可以在IS-IS中引入路由时应用包含本命令的路由策略,改变引入IS-IS协议中的路由的level级别。
apply local-preference preference 在路由策略中配置改变BGP路由信息的本地优先级的动作。当BGP路由需要改变离开AS的路径时,可以应用包含本命令的路由策略,改变匹配成功的BGP路由的本地优先级。当BGP网络中的路由器通过不同的IBGP对等体得到目的地址相同,但下一跳不同的多条路由时,将优先选择Local-Pref属性值较高的路由(值越大,优先级越高)。但本地优先级仅用于同一个AS域内的选路,不向域外发布这个属性。
apply origin {egp {as-number-plain | as-number-dot} | igp | incomplete} 在路由策略中配置改变BGP路由的Origin属性的动作。当BGP路由需要改变Origin属性来参与路由选择的竞争时,可以应用包含本命令的路由策略,改变匹配成功的BGP路由的Origin值。Origin值是BGP协议的私有属性,该属性定义路径信息的来源。
apply ospf {backbone | stub-area } 在路由策略中配置将路由引入OSPF网络特定区域的动作。为避免OSPF引入过多外部路由,给运行OSPF的设备带来额外的负担,可以在OSPF引入路由时,应用包含本命令的路由策略来将路由引入OSPF网络的骨干区域或NSSA区域。
apply preference preference 在路由策略中配置改变路由的优先级的动作。当路由需要改变路由优先级来参与路由选择的竞争时,可以应用包含本命令的路由策略,改变匹配成功的路由的优先级(值越大,优先级越低)。
apply preferred-value preferred-value 在路由策略中配置改变BGP路由的首选值的动作。当BGP路由需要改变首先值来参与路由选择的竞争时,可以应用包含本命令的路由策略,改变匹配成功的BGP路由的首选值(值越大,优先级越高)。但本命令配置本地生效,在BGP的出口策略中不生效。
apply tag tag 在路由策略中配置改变路由信息标记Tag的动作。当需要对路由进行分类标识,更好地运用路由策略时,可以应用包含本命令的路由策略,改变匹配成功的路由打上相同的Tag。但BGP没有Tag属性,本命令只能设置IGP路由信息的标记。
四、配置路由策略生效时间
system-view
route-policy-change notify-delay delay-time 控制路由策略变化后RM通知各协议重新应用策略的延迟时间。
quit
refresh bgp all {export | import} 配置BGP协议立即应用新策略,手工对BGP连接进行软复位。
本地策略路由配置
一、配置本地策略路由的匹配规则
system-view
policy-based-route policy-name {deny | permit} node node-id 创建策略路由和策略点,若策略点已创建则进入本地策略路由视图。
if-match acl acl-number 设置本地策略路由中IP报文的ACL匹配条件。ACL必须事先配置好。
if-match packet-length min-length max-length 设置IP报文长度匹配条件。
二、配置本地策略路由的动作
system-view
policy-based-route policy-name {deny | permit} node node-id 进入本地策略路由视图。
apply output-interface interface-type interface-number 指定本地策略路由中报文的出接口。配置成功后,将匹配策略点的本机下发报文从指定接口发送出去。报文的出接口不能为以太接口等广播型接口,如果是以太网接口要先用link-protocol ppp配置为p2p类型的,因为广播型的接口有多个可能的下一跳,可能会造成报文转发不成功的现象。
apply ip-address next-hop ip-address1 [ip-address2] 设置本地策略路由中报文的下一跳。当该策略点未配置出接口时,匹配策略点的本机下发报文被发往指定的下一跳。下一跳Ip地址不能是本设备的IP地址。
apply default output-interface interface-type interface-number 配置本地策略路由中报文的缺省出接口,同样不能为广播型接口。当该策略点未指定报文的出接口和下一跳,且匹配策略点的本机下发报文也未能按照正常流程根据报文目的地址查找到路由时,则将此报文从缺省出接口发送出去。
apply ip-address default next-hop ip-address1 [ip-address2] 配置本地策略路由中报文的缺省下一跳,仅对在路由表中未查找到路由的报文起作用。
apply access-vpn vpn-instance vpn-instance-name &<1-6> 设置本地策略路由中报文转发的VPN实例。当用户希望报文进入VPN时,可执行本命令配置报文转发的VPN实例。
apply ip-precedence precedence 设置本地策略路由中IP报文优先级,可以用数字或优先级关键字。
quit
ip policy-based-route refresh-time refreshtime-value 配置本地策略路由刷新LSP信息的时间间隔。
三、应用本地策略路由
ip local policy-based-route policy-name
接口策略路由配置
一、定义流分类
system-view
traffic classifier classifier-name [operator {and | or}] 创建一个流分类,进入流分类视图。operator指定流分类下各规则之间的逻辑运算符,没有指定,缺省为逻辑“或”的关系。
if-match vlan-id start-vlan-id [to end-vlan-id] 在流分类中创建基于外层VLAN ID进行分类的匹配规则。
if-match cvlan-id start-vlan-id [to end-vlan-id] 在流分类中创建基于QinQ报文内层VLAN ID进行分类的匹配规则。
if-match 8021p {8021p-value} &<1-8> 在流分类中创建基于VLAN报文的802.1p优先级进行分类的匹配规则。
if-match cvlan-8021p {8021p-value } &<1-8> 在流分类中创建基于QinQ报文内层802.1p优先级进行分类的匹配规则。
if-match destination-mac mac-address [mac-address-mask mac-address-mask] 在流分类中创建基于目的MAC地址进行分类的匹配规则。
if-match source-mac mac-address [mac-address-mask mac-address-mask] 在流分类中创建基于源MAC地址进行分类的匹配规则。
if-match l2-protocol {arp | ip | mpls | rarp | protocol-value} 在流分类中创建基于二层封装的上层协议字段进行分类的匹配规则。
if-match any 在流分类中创建基于所有数据报文进行分类的匹配规则。当需要对所有的数据报文做统一处理时,使用本命令匹配所有的数据报文(但不匹配上送CPU的控制报文,如STP中的BPDU)。
if-match ip-precedence ip-precedence-value &<1-8> 在流分类中创建基于IP优先级进行分类的匹配规则。
if-match tcp syn-flag {ack | fin | psh | rst | syn | urg } * 在流分类中创建基于TCP报文头中的SYN Flag字段进行分类的匹配规则。
if-match inbound-interface interface-type interface-number 在流分类中创建基于入接口进行分类的匹配规则。设备仅支持在WAN接口应用包含该匹配规则的流策略。当包含此匹配规则的流策略应用在WAN接口出方向时,匹配的入接口不得为子接口或Eth-trunk的成员接口。
if-match outbound-interface interface-type interface-number 在流分类中创建基于Cellular出通道口对报文进行分类的匹配规则。
if-match acl {acl-number | acl-name} 在流分类中创建基于ACL进行分类的匹配规则。
二、配置流重定向
system-view
traffic behavior behavior-name 创建一个流行为,进入流行为视图。
redirect ip-nexthop ip-address [track nqa admin-name test-name ] 二选一,将符合流分类的报文重定向到下一跳,并配置与NQA测试例联动。
redirect interface interface-type interface-number 二选一,将符合流分类的报文重定向到指定接口,目前设备仅支持重定向到3G接口和Dialer接口,且包含重定向动作的流策略只能在接口的入方向上应用。
三、配置并应用流策略
system-view
traffic policy policy-name 创建一个流策略,并进入流策略视图。
classifier classifier-name behavior behavior-name 在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。
quit
interface interface-type interface-number 进入要应用流策略的接口或子接口,进入接口视图。
traffic-policy policy-name {inbound | outbound} 在接口或子接口的入方向或出方向应用流策略。每个接口的同一方向上能且只能应用一个流策略,但同一个流策略可以同时应用在不同接口的不同方向。流策略一旦应用后,不允许直接删除该流策略及其包含的流分类或流行为。
华为路由器配置命令汇总相关推荐
- 华为交换机配置命令汇总
VRP系统基本使用 ◆command-privilege level rearrange --用户级别为15级才能执行,将所有缺省注册为2.3级的命令,分别批量提升到10和15级. ◆undo co ...
- 华为路由器交换机命令汇总-持续更新
#清空配置,然后reboot,提示保存yes/no,输入no reset saved-configuration #查看系统版本号 display version #查看内存使用率 display m ...
- 计算机路表配置命令,计算机、华为交换机、路由器配置命令表
计算机.华为交换机.路由器配置命令表 (7页) 本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦! 15.9 积分 华为路由器配置命令表计算机命令~~~~~~~~ ...
- 锐捷路由器如何配置虚拟服务器,锐捷路由器配置命令完美宝典
关于锐捷路由器配置命令,相信懂的人还不是很多,没有关系,下面就针对锐捷路由器,给大家详细的讲解一下,这些命令可能用的都不是很多,但是对于网络安全和性能来说很重要. 复制代码代码如下: #Exit返回上 ...
- 华为路由器常用命令集合
system-view 进入系统视图 http serveer permit interface GigabitEthernet0/0/0 切换web登录的端口为0/0/0 undo nat alg ...
- 思科与华为BGP配置命令对比
思科与华为BGP配置命令对比 Cisco(config)#router bgp 100 //配置BGP进程号 [Huawei]bgp 100 //启动BGP,指定本地AS编号,并进入BGP视图 Cis ...
- 华为基本配置命令(整理)
华为基本配置命令(整理) 版权仅供原作者所有,感谢提供资料的原作者! 一.单交换机VLAN划分 命令解释 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除v ...
- 华为路由器远程命令执行漏洞复现(CVE-2017-17215)
华为路由器远程命令执行漏洞复现(CVE-2017-17215) 漏洞内容 这个漏洞算是比较老的一种漏洞了,但是具有一定的学习价值. CheckPoint报告华为HG532路由器产品存在远程命令执行漏洞 ...
- Cisco路由器配置命令之模式转换命令
Cisco路由器配置命令之配置命令 show running config 显示所有的配置 show versin 显示版本号和寄存器值 shut down 关闭接口 no shutdown 打开接口 ...
最新文章
- Linux进程描述符task_struct结构体详解--Linux进程的管理与调度(一)
- Visual studio 快捷键大全
- 第三周 数据分析之概要 Pandas库数据特征分析
- 初学Java Web(3)——第一个Servlet
- AI+AR如何提升花椒直播的体验?
- 微型计算机中被处理信息称为,2011海南省计算机等级考试试题 二级C试题考资料...
- java学习(17):巩固练习
- 静态类 c# 1614532739
- shell脚本实时监控进程连接数
- 计算机网络专业的论文题目,计算机网络技术专业毕业论文题目(3)
- linux 命令无法Tab补全,命令参数无法补全
- 安装11.2.0.3时,OUI的log报错:OUI-10066:Not All The Dependencies For The Component ... Could Be Found
- scrapy简单示例
- Android-video rotation详解
- SitePoint Podcast#175:版式
- man posix_spawn
- 自定义文字云/词云图----基于echarts
- 【Android工具】更新观影渠道,安卓、iOS、PC三端通用,免费电影在线观看
- 基于缎蓝园丁鸟优化算法的无线传感器网络覆盖优化
- python 网页微信_python---web微信开发