我是藝博東 ,一個思科出身專注于華為的網工,
文章目錄
- 二層,沒有mac表項或者黑洞mac
- 2.5層,沒有lsp,或者黑洞lsp
- MPLS VP# 匯總
- MPLS VP# 匯總拓撲
- MPLS VP# 匯總簡單配置與分析
- 三層,沒有路由表項或黑洞路由
- BGP 路由黑洞
- BGP 路由黑洞拓撲
- BGP 路由黑洞簡單配置與測驗分析
- 如何解決 BGP 路由黑洞
- TTL為0時會丟包
- 資料不可達
- 擁塞避免
- 使用流量統計方法測驗
由于特殊原因,所以把“N”字母替換為“#”符號,
二層,沒有mac表項或者黑洞mac
為了防止黑客通過MAC地址攻擊用戶設備或網路,可將非信任用戶的MAC地址配置為黑洞MAC地址,過濾掉非法MAC地址,當設備收到DMAC或SMAC地址為黑洞MAC地址的報文,且報文攜帶的VLAN為黑洞MAC對應的VLAN時,直接丟棄,
mac-address blackhole aaaa-bbbb-cccc vlan 10 #添加黑洞MAC表項
丟棄:該幀小與64位元組(資料幀不完整)或者大于介面MTU時;
從該介面收到資料幀,該資料幀又要從該介面發出時,
丟棄:
如果收到資料埠也是發送資料幀的介面,則丟棄;
SMAC地址或者DMAC地址匹配MAC地址黑洞表項時;
沖突導致殘缺的資料幀;
介面擁塞,快取不夠;
CPU過載,
2.5層,沒有lsp,或者黑洞lsp
MPLS VP# 匯總
MPLS VP# 匯總拓撲
AR1與AR4建立MP-IBGP鄰居關系;在AR3上將4.4.4.4/32匯總成4.4.4.0/24,
介面的IP地址如圖所示,
MPLS VP# 匯總簡單配置與分析
骨干網使用IGP(IS-IS)
AR1
[AR1]isis
[AR1-isis-1]network-entity 66.0000.0000.0000.0001.00
[AR1-isis-1]is-level level-1
[AR1-isis-1]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]isis enable 1
[AR1-GigabitEthernet0/0/1]int l0
[AR1-LoopBack0]isis enable 1
AR2
[AR2]isis
[AR2-isis-1]network-entity 66.0000.0000.0000.0002.00
[AR2-isis-1]is-level level-1
[AR2-isis-1]q
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]isis enable 1
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]isis enable 1
[AR2-GigabitEthernet0/0/1]int l0
[AR2-LoopBack0]isis enable 1
AR3與AR4配置同上
AR3
[AR3-isis-1]is-level level-1-2
AR4
[AR4-isis-1]is-level level-2
[AR2]dis isis peer
建立公網LSP隧道
AR3
[AR3]mpls lsr-id 3.3.3.3
[AR3]mpls
[AR3-mpls]mpls ldp
[AR3-mpls]q
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]mpls
[AR3-GigabitEthernet0/0/0]mpls ldp
[AR3-GigabitEthernet0/0/0]int g0/0/1
[AR3-GigabitEthernet0/0/1]mpls
[AR3-GigabitEthernet0/0/1]mpls ldp
AR4
[AR4]mpls lsr-id 4.4.4.4
[AR4]mpls
[AR4-mpls]mpls ldp
[AR4-mpls-ldp]q
[AR4]int g0/0/0
[AR4-GigabitEthernet0/0/0]mpls
[AR4-GigabitEthernet0/0/0]mpls ldp
[AR3]dis mpls lsp
AR1與AR4建立MP-IBGP鄰居關系,開啟VP#V4路由
AR1
[AR1]bgp 100
[AR1-bgp]peer 4.4.4.4 as-number 100
[AR1-bgp]peer 4.4.4.4 connect-interface LoopBack0
[AR1-bgp]ipv4-family vpnv4
[AR1-bgp-af-vpnv4]peer 4.4.4.4 enable
AR4
[AR4]bgp 100
[AR4-bgp]peer 1.1.1.1 as-number 100
[AR4-bgp]peer 1.1.1.1 connect-interface LoopBack0
[AR4-bgp]ipv4-family vpnv4
[AR4-bgp-af-vpnv4]peer 1.1.1.1 enable
[AR4]dis bgp vp#v4 all peer
在PE上VP#業務的接入,并系結相關介面
AR1
[AR1] ip vpn-instance YBD1
[AR1-vpn-instance-YBD1]route-distinguisher 100:1
[AR1-vpn-instance-YBD1]vpn-target 100:1 export-extcommunity
[AR1-vpn-instance-YBD1]vpn-target 100:1 import-extcommunity
[AR1-vpn-instance-YBD1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip binding vpn-instance YBD1
[AR1-GigabitEthernet0/0/0]ip address 10.1.15.1 255.255.255.0
AR4配置類似
接入私網VP#業務
AR1
[AR1]bgp 100
ipv4-family vpn-instance YBD1
[AR1-bgp-YBD1]peer 10.1.15.5 as-number 1
[AR1-bgp-YBD1]peer 10.1.15.5 substitute-as
AR5
[AR5]bgp 1
[AR5-bgp]peer 10.1.15.1 as-number 100
[AR5-bgp]network 5.5.5.5 255.255.255.255
[AR5]dis bgp peer
AR4和AR6配置類似
[AR6]display ip routing-table
[AR5]ping -a 5.5.5.5 6.6.6.6
在AR3上將4.4.4.4/32匯總成4.4.4.0/24
L1/2的路由器上執行區域間路由匯總,類似于OSPF的ABR,
AR3
[AR3]isis
[AR3-isis-1]summary 4.4.4.0 255.255.255.0 level-1
[AR3-isis-1]import-route isis level-2 into level-1 #L2的明顯路由泄露到L1區域里
[AR1]dis mpls lsp
沒有AR4的4.4.4.4/32的標簽
[AR1]ping 4.4.4.4
[AR5]ping -a 5.5.5.5 6.6.6.6
三層,沒有路由表項或黑洞路由
BGP 路由黑洞
BGP 路由黑洞拓撲
簡單描述:按照拓撲圖寫介面IP地址;AR4與AR1建立EBGP鄰居關系,AR3與AR5建立EBGP鄰居關系;AR1與AR3建立IBGP鄰居關系;AS200運行OSPF協議,并在AREA 0區域里,AR4、AR1、AR3、AR5的Loopback 0的環回口地址宣告進BGP行程中,
BGP 路由黑洞簡單配置與測驗分析
AR1
[AR1]di cu
[V200R003C00]
#
sysname AR1
#
...
#
interface GigabitEthernet0/0/0
ip address 10.1.14.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.12.1 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
bgp 200
router-id 1.1.1.1
peer 3.3.3.3 as-number 200
peer 3.3.3.3 connect-interface LoopBack0
peer 10.1.14.4 as-number 100
#
ipv4-family unicast
undo synchronization
peer 3.3.3.3 enable
peer 3.3.3.3 next-hop-local
peer 10.1.14.4 enable
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.1.12.1 0.0.0.0
#
...
AR3與AR1配置類似
AR2
[AR2]dis current-configuration
[V200R003C00]
#
sysname AR2
#
...
#
interface GigabitEthernet0/0/0
ip address 10.1.12.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.23.2 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.1.12.2 0.0.0.0
network 10.1.23.2 0.0.0.0
#
...
AR4
[AR4]display current-configuration
[V200R003C00]
#
sysname AR4
#
...
#
interface GigabitEthernet0/0/0
ip address 10.1.14.4 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
#
bgp 100
router-id 4.4.4.4
peer 10.1.14.1 as-number 200
#
ipv4-family unicast
undo synchronization
network 4.4.4.4 255.255.255.255
peer 10.1.14.1 enable
#
...
AR4與AR5配置類似
[AR4]dis bgp routing-table
[AR5]dis bgp routing-table
都有對方的路由
PING測驗一下
[AR5]ping -a 5.5.5.5 4.4.4.4
ICMP
Type是11,Code是0,表示傳輸期間生存時間為0,
[AR2]dis ip routing-table
AR2上沒有AR4、AR5的路由資訊,
什么是路由黑洞?
黑洞就是有去無回,
路由黑洞有什么作用?
防止路由環路,
如何解決 BGP 路由黑洞
(1)可使用GRE隧道;
AR1
[AR1]int Tunnel 0/0/1
[AR1-Tunnel0/0/1]ip address 10.1.13.1 24
[AR1-Tunnel0/0/1]tunnel-protocol gre
[AR1-Tunnel0/0/1]source 10.1.12.1
[AR1-Tunnel0/0/1]destination 10.1.23.3
[AR1-Tunnel0/0/1]q
[AR1]ip route-static 3.3.3.3 32 10.1.13.3 preference 1
AR3
[AR3]int Tunnel 0/0/1
[AR3-Tunnel0/0/1]ip address 10.1.13.3 24
[AR3-Tunnel0/0/1]tunnel-protocol gre
[AR3-Tunnel0/0/1]source 10.1.23.3
[AR3-Tunnel0/0/1]destination 10.1.12.1
[AR3-Tunnel0/0/1]q
[AR3]ip route-static 1.1.1.1 32 10.1.13.1 preference 1
[AR4]ping -a 4.4.4.4 5.5.5.5
[AR4]tracert -a 4.4.4.4 5.5.5.5
已PING通,
(2)上運行BGP協議,讓AR2與AR1、AR3建立IBGP鄰居關系,
此方法配置不做詳細講解,
TTL為0時會丟包
每經過一臺路由器時,TTL值減1;
若報文TTL值小于介面上配置的最小TTL值,則丟棄該報文,
資料不可達
設備收到IP報文后,如果發現目的不可達,則設備將該報文丟棄,并給源端發送ICMP目的不可達報文,
埠不可達報文、協議不可達報文和主機不可達報文都屬于ICMP目的不可達報文,
設備收到目的地址為本地、傳輸層協議為UDP的資料報文時,如果報文的埠號與正在使用的行程不匹配,則給源端發送埠不可達的ICMP報文,
設備收到目的地址為本地的資料報文時,如果設備不支持資料報文采用的傳輸層協議,則給源端發送協議不可達的ICMP報文,
設備收到資料報文但是無法轉發時,則給源端發送主機不可達的ICMP報文,
擁塞避免
擁塞避免常用的兩種丟棄報文方式為:尾部丟棄策略和WRED,
尾丟棄:當佇列的長度達到最大值后,所有新入佇列的報文都將被丟棄(快取在佇列尾部),這種丟棄策略會引發TCP全域同步現象,導致TCP連接始終無法建立,所謂TCP全域同步現象如下圖所示,三條線表示三條TCP,當同時丟棄多個TCP報文時,將造成多個TCP連接,同時觸發滑窗減半機制,又會由于慢啟動的機制,將流量慢慢的增大,之后又會在某個時間同時出現流量高峰,觸發滑窗減半的機制,如此反復進行,使網路流量忽大忽小,
尾丟棄出現的問題:
1)TCP同步;沒有充分利用鏈路帶寬
2)TCP餓死 ; UDP沒有TCP那種滑動視窗
3)無差別的丟棄
在CBQ中,EF佇列和LLQ佇列不能使用丟棄策略,只能尾丟棄,為避免TCP全域同步現象,出現了RED技術,RED通過隨機地丟棄資料報文,讓多個TCP連接不同時降低發送速度,從而避免了TCP的全域同步現象,使TCP速率及網路流量都趨于穩定,
WRED: RED是沒有差分服務的,即使優先級高的也可能被隨機丟棄掉,所以基于RED,實作了WRED,流佇列支持基于DSCP或IP優先級進行WRED丟棄,每一種優先級都可以獨立設定報文丟包的上下門限及丟包率,報文到達下限時,開始丟包,隨著門限的增高,丟包率不斷增加,最高丟包率不超過設定的丟包率,直至到達高門限,報文全部丟棄,這樣按照一定的丟棄概率主動丟棄佇列中的報文,從而一定的程度上避免擁塞問題,
路由表里沒有相應的路由條目
使用流量統計方法測驗
使用流量統計的方法,沿著發生丟包的鏈路,在設備的入介面和出介面上部署流策略,分別統計入介面的Inbound方向和出介面的Outbound方向的特定報文,以確認該類報文是否在本設備被丟棄,
以埠a的Inbound方向和埠b的Outbound方向,埠b的Outbound方向和埠c的Inbound方向的流量統計情況為例,
如果埠a的Inbound方向和埠b的Outbound方向Passed 計數大致相等,說明此處無丟包,如果埠a的Inbound方向的報文Passed計數多于埠b的Outbound方向的報文Passed計數,說明丟包發生在LSW1,如果埠b的Outbound方向和埠c的Inbound方向Passed 計數大致相等,說明此處無丟包,
LSW1
#配置ACL規則
[LSW1]acl number 3000
[LSW1-acl-adv-3000]rule permit icmp source 192.168.10.1 0 destination 200.1.1.1
[LSW1-acl-adv-3000]quit
#配置流分類
[LSW1]traffic classifier 3000
[LSW1-classifier-3000]if-match acl 3000
[LSW1-classifier-3000]quit
#配置流行為
[LSW1]traffic behavior 3000
[LSW1-behavior-3000]statistic enable
[LSW1-behavior-3000]quit
#配置流策略
[LSW1]traffic policy 3000
[LSW1-trafficpolicy-3000]classifier 3000 behavior 3000
[LSW1-trafficpolicy-3000]quit
#在介面上應用流策略
[LSW1]interface gigabitethernet 0/0/0
[LSW1-GigabitEthernet0/0/0]traffic-policy 3000 inbound
[LSW1-GigabitEthernet0/0/0]quit
OK
情商的行為是什么?即使是對最熟悉、最親切的人,仍然保持尊重和耐心,
好了這期就到這里了,如果你喜歡這篇文章的話,請點贊評論分享收藏,如果你還能點擊關注,那真的是對我最大的鼓勵,謝謝大家,下期見!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/278420.html
標籤:其他
上一篇:圖解: 執行緒狀態轉換(執行緒生命周期這一篇夠用了)
下一篇:工訓賽:從參賽到“棄賽”