聚合

一、Eth-Trunk：链路聚合

1. 定义：将多个物理链路捆绑为一个逻辑链路

• 增加带宽：链路聚合的接口带宽之和为最大带宽
• 提高可靠性：提供基本的故障自动切换功能
• 负载分担：在一个链路聚合内，可以实现各成员活动链路的负载负担

2. 聚合方式：

• 同板
• 跨板
• 跨框：指集群场景下，成员接口分布在集群各个成员设备上
• 跨设备：指E-Trunk基于LACP进行扩展

3. 聚合模式：

• 手工模式：在不变更网络设备欸情况下进行链路带宽合并，而设备不支持LACP协议

  • 无法检测链路故障
  • 只能用于直连设备之间连接，无法跨设备使用
  • 不能提供链路备份

• LACP模式：在不变更现网络设备的情况下进行链路带宽合并，而设备支持LACP协议，可以使用LACP静态模式

  • 可以检测链路故障
  • 可以跨设备使用
  • 可以提供链路备份

• Eth-trunk转发原理

  • 通过LACP报文进行进行协商，确定活动端口和非活动接口，进行主备协商

  • 负载分担机制[load-balance]：

    • 逐包：以报文为单位分别从不同成员链路发送，有数据包乱序情况
    • 逐流：以数据流为单位分别从不同链路发送，避免数据包乱流情况
    • PS：目前仅支持逐流的负担分担

  • Eth-Trunk位于MAC与LLC子层之间，属于数据链路层

  • 

  • Eth-Trunk内部维护一张转发表

    • HASH值：根据数据包的MAC地址或IP地址等，经过HASH算法计算出
    • 接口号：转发表表项分布和接口成员数量相关，不同的HASH-KEY对应不同的出接口

• Eth-Trunk配置

  • 聚合模式：手工模式/LACP

    • mode manual load-balance/lacp

  • 活动接口数量上限阈值

  • 活动设备接口下线预知：默认1

  • 系统LACP优先级：默认32768

  • 系统LACP抢占：启用/禁用

  • LACP抢占时间：默认30s

  • LACP抢占等待时间：默认90s

  • Eth-Trunk接口流量本地有限转发：启用/禁用

  #创建Eth-Trunk虚拟接口
  interface Eth-Trunk [number]
  	#聚合模式: manual load-balance/lacp
  	mode manual load-balance/lacp
  	#添加加入Eth-Trunk的接口
  	trunkport [interface number] to [interface number]
  	#配置最大活动接口数量
  	max active-linknumber 2
  	#配置最小活动接口数量，仅限于LACP
  	min active-linknumber 1
  	#配置抢占
  	lacp preempt enable
  	#设置抢占延迟时间
  	lacp preempt delay 10
  	#设置负载方式[仅聚合模式为：manual load-balance时配置]
  	load-balance
  	#带宽最大活动端口
  	max bandwidth=affected-linknumber 2
  
  	#集群环境下
  	#优先本地转发
  	local-preference enable
  
  #设置段亏加入聚合端口
  interface [interface number]
  	eth-trumk [number]
  
  #配置系统优先级
  lacp priority 1
  
  #验证配置信息和状态
  display [interface] eth-trunk [number]
  #验证成员信息
  display trunkmembership eth-trunk 1
  
  

二、E-Trunk：增强型链路聚合

• 实现跨设备链路聚合机制，基于LACP进行扩展

• 实现多态设备之间的链路聚合，从而把链路可靠性从单板提高到设备级

• 应用场景：CE双归接入，对CE与PE间的链路保护以及对PE设备故障的保护

  

• 基本工作原理：

  • PE1和PE2创建相同ID的Eth-Trunk，加入相同ID的E-Trunk
  • 选举E-Trunk主备（先根据E-Trunk优先级和系统ID，值越小优先级越高）
  • 选举Eth-Trunk主备

‍

IPV6

一、地址格式：

• 总长度123比特，分8组，每组4个十六进制数的形式，每组使用“:”分割

• 包含网络前缀和恶接口标识两部分

• IPV6地址压缩格式

  • 每组开头的0可以省略
  • 连续为0的组可以使用“::”来代替，但只能使用一次
    

二、地址分配

• 定义：
  

  ​​ 类型	备注
  Unicast	单播，一到一
  Muticast	组播，一到多，同时实现广播功能
  Anycast	任播，一到最近，多个设备可以使用相同地址，提供相同的服务， 常用于提供冗余和负载分担 ​

‍

1. 单播地址

   • 定义：如果地址的前三位不是000，则接口标识必须为64位，如果地址前三位是000，则没有限制

   • 分配

     • 未指定地址：::/128

       • 代表接口没有IP地址，也可以作为报文的源IP地址，如NS报文的重复地址检测，这种报文不会被路由设备转发

     • 环回地址：::1/128

       • 本地回环，用于测试协议栈

     • 链路本地地址：F80::/10

       • 只能在本地链路之间使用，不会被路由，用于自动地址配置，邻居发现，路由器发现等
       • 每个IPV6接口就必须有一个链路本地地址
       • 相邻链路之间不允许重复的链路本地地址，非相邻链路不做限制，可以重复

     • 全球单播地址（GUA Global Unicast Address）：2000::/3-3FFF::/3

       • 公网地址，由全局路由前缀，子网ID和接口标识组成
         Provider		Subnet ID	Host
         3Bits	45Bits	16Bits	64Bits
         001	Global Routing Prefix	Subnet	Interface ID

       • 分配规则

         • EUI-64

           • 开启IPV6后或配置

     • 唯一（站点）本地地址：FC00::/7

       • 私网地址，仅在本地网络使用，在IPV6 Internet上不可被路由

       • 

         • L为1代表该地址在本地网络范围内使用；为0代表保留地址，以后扩展
         • Global ID：全球唯一前缀；通过伪随机方式产生

   ‍

   • EUI-64：开启IPV6或者配置全球单播地址后，接口会采取EUI-64规范自动生成接口ID，从而生成链路本地地址，规则如下：

     • 在接口MAC地址中间插入FF:FF
     • 把接口MAC地址从左到右第七位二进制翻转
       

2. 组播地址

   1. 标识一组接口，法网组播地址的数据将被转发给帧听该地址的多个设备

   2. 范围：FF00::/8

   3. 常见组播地址

      组播地址	范围	含义	描述
      FF01::1	节点（Node）	所有节点	在本地接口范围的所有节点
      FF01::2	节点	所有路由	在本地接口范围的所有路由
      FF02::1	本地链路（link-local）	所有节点	在本地链路范围的所有节点
      FF02::2	本地链路	所有路由器	在本地链路范围的所有路由器
      FF02::5	本地链路	OSPF路由器	所有OSPF路由器组播组播地址
      FF02::6	本地链路	OSPF DR路由器	所有OSPF的DR路由器组播地址
      FF02::9	本地链路	RIP路由器	所有RIP路由器组播地址
      FF02::13	本地链路	PIM路由器	所有PIM路由器组播地址
      FF05::2	站点	所有路由器	在一个站点范围内的所有路由器

   4. 组播MAC：33-33是专门为IPV6组播预留的MAC地址前缀，MAC地址的后32bit从高对应的组播IPV6地址的后32bit拷贝而来

   5. 被请求节点组播地址：

      1. 通过节点的单播或任播地址生成
      2. 主要用于邻居发现机制和地址重复检测
      3. 开头FF02::1:FF00/104，加入单播地址最后24位

3. 任播放地址

   1. 标识一组网络接口（通常属于不同的节点）
   2. 发往任播的报文只会被发送到最近的一个接口
   3. 任播地址与单播地址使用相同的地址空间，因此配置时必须明确表明是任播地址
   4. 目前任播地址主要应用于移动IPV6
   5. 在RFC3513中定义了子网路由器任播地址（Subnet-Router anycast Address），其接口ID为全0

三、IPV6配置方法

1. IPV6单播地址配置方式

   1. 单播地址配置方式

      

      方式	地址	前缀	网关	DNS	AUTO	MAMAGER	OTHER	描述
      静态	手动	手动	手动	手动	无	无	无
      SLAAC	RA	RA	RA	无	1	0	0	Stateless Address Autoconfigure：无状态自动地址配置
      Stateless DHCPv6	RA	RA	RA	DHCPv6	1	0	1	无状态自动dhcp地址配置
      Statefull DHCPv6	DHCPv6	DHCPv6	RA	DHCPv6	0	1	无	Statefull Address Autoconfigure：有状态dhcp地址配置

   2. 静态基础配置

      #开启IPV6报文功能
      ipv6
      interface [number]
      	ipv6 enable
      
      	#配置全球单播地址[手动]
      	ipv6 address 2019::1 64
      	#配置全球单播链路地址[EUI-64]
      	ipv6 address 2019:: eui-64
      
      	#配置链路本地地址[手动]
      	ipv6 address [ipv6-address] link-local
      	#配置链路本地地址[自动]
      	ipv6 address auto link-local
      
      	#配置任播地址
      	ipv6 address 2222::2 anycast
      
      #接口验证
      display ipv6 interface brief
      dispaly this ipv6 interface
      

   3. 正常节点具备的地址标识（红色为路由器额外具备的地址）

      必须地址	IPV6标识
      链路本地地址	FE80::/10
      环回地址	::1/128
      所有节点、路由器组播地址	FF01::1、FF02::1、FF01::2、FF02::2、FF05::2
      分配的可聚合全球单播地址	2000::/3
      每个单播/任播地址对应的被请求节点组播地址、子网-路由器任播地址、其它任播地址	FF02::1:FF00:/104、UNICAST_PREFIX:0:0:0:0、2000::/3
      主机所属的所有的组播地址	FF00::/8

   4. ipv6基础协议

      1. ICMPv6

         • icmpv6除了提供ICMPv4常用的功能之外，还是其它一些功能的基础，如邻居发现，无状态地址配置，PMTU发现等

         • 报文结构：

           

         • 报文Code类型

           消息类型	TYPE	名称	CODE
           差错消息	1	目的不可达	0 无路由
           			1 因管理原因禁止访问
           			2 未指定
           			3 地址不可达
           			4 端口不可达
           	2	数据包过长	0
           	3	超时	0 跳数到0
           			1 分片重组超时
           	4	参数错误	0 错误的包头字段
           			1 无法识别的下一包头类型
           			2 无法识别的IPV6选项
           信息消息	128	Echo request	0
           	129	Echo replay	0

      2. NDP：Neoghbor Discovery Protocol，邻居发现协议

         • 报文类型

           功能	备注
           路由器发现	发现链路上的路由器，获得路由器的信息
           无状态自动配置	通过路由器通告的地址前缀，中断自动生成IPv6地址
           重复地址检测	获取地址后，进行地址重复检测，保证地址不存在冲突
           地址解析	请求目的网络地址对应的数据链路车嗯地址，类似IPv4的ARP
           邻居状态跟踪	通过NDP发现链路上的邻居并跟踪邻居状态
           前缀重编址	路由器对所有通告的地址前缀进行灵活设置实现网络重编址
           路由重定向	告知其它设备，到达目标网络的更优下一跳

         • 相关报文

           报文类型 功能	RS 133	RA 134	NS 135	NA 136	重定向 137
           地址解析			是	是
           重复地址检测			是	是
           前缀公告	是	是
           前缀重新编址	是	是
           路由重定向					是

         • IPv6地址发现技术：通过NS和NA报文实现ARP、DAD（重复地址检测）功能

           类型	报文类型	备注
           NS	ICMP 135	Neighbor Solicitation，邻居请求，类似IPv4中的ARP请求报文，向IPv6组发送地址以及MAC以及需要发送对方的地址
           NA	ICMP 136	Neighbor Advertisement，邻居通告，类似于IPv4中的ARP应答报文，IPv6组收到数据，通过组播通知组员，发现一致的节点，向NS相应对方数据

         • 邻居状态

           状态	备注
           Incomplete	未完成，邻居请求已经发送，但没收到邻居通告
           Reachable	可达，收到确认，不续再发包确认
           Stale	陈旧，从收到上一次可达确认后过了超过30s
           Delay	延迟，在陈旧状态后发送一个报文，并且5s内没有可达性确认
           Probe	探查，每隔1s重传邻居请求来确认请求可达性，直到收到确认

         • DAD：Duplicate Address Detect ，重复地址检测，接口再启用任何一个单播IPv6地址前都需要先进行DAD，包括Link-Local地址

      3. IPv6路由器发现技术：通过RS和RA技术实现SLAAC-无状态自动地址配置

         类型	报文类型	方式	备注
         RS	ICMP 133	1. 主机向路由组播地址（如：FF02::2）发送路由请求通告（RS），路由器收到组通知，向主机发送路由通告（RA） 2. 由器直接向注册到路由组播地址（如：FF02::2）内主机发送RA路由通告	Router Solicitation，路由器请求，请求网络前缀，网关等信息
         RA	ICMP 134		Router Advertisement，路由器通告，通告网络前缀，网关等信息

         命令	备注
         undo ipv6 nd ra halt	开启接口RA报文功能
         ipv6 nd ra min-interval 100	默认RA最小间隔
         ipv6 nd ra max-interval 200	默认RA最大间隔

      4. 重定向：当网关路由器知道更好的转发路径时，会以重定向报文的方式告知主机

         

      5. Path MTU：发现路径上最小MTU（IPv6不允许中途切片，减少中间设备压力）

2. IPv6过渡技术

   1. 手动隧道

      1. IPv6 over IPv4：直接再IPV6包头前封装IPV4包头（tunnel-protocol ipv6-ipv4）

         IPv4 Header（协议号41）	IPv6 Header	IPv6 Data

      2. GRE IPv6 over IPv4：再IPv6包头与IPv4包头中间插入GRE包头（tunnel-protocol gre）

         IPv4 Header（协议号47）	GRE Header	IPv6 Header	IPv6 Data

      #创建隧道接口
      interface tunnel [number]
      	#开启IPv6
      	ipv6 enable
      	#配置地址
      	ipv6 address fc02::1/64
      	tunnel-protocol [protocol-type]
      	#隧道源
      	source [ip_address]
      	#隧道目的
      	destination [ip_address]
      
      	#如果是GRE隧道
      	#配置GRE包头校验
      	gre checksun
      	#配置GRE关键字
      	gre key
      
      #验证
      display ipv6 interface tunnel [number]
      

   2. 自动隧道：隧道的两个几口的IPv6地址采用内嵌IPv4地址的特殊IPv6形式

      1. 6to4隧道：支持Router-Router、Router-Host、Host-Host

         • 地址前缀固定为2002::/16
         • 网络地址必须规划为2002:IPv4地址::/48
         • 后16位是由用户自定义

   3. ISATAP隧道：

3. NAT64：NAT64继承传统NAT技术原理，不同的是对整个报文格式进行转换

   特性	转换前	转换后
   传统NAT	源地址为私网IPv4	源地址为公网IPv4
   NAT64	报文格式为IPv6/IPv4	包报文格式为IPv4/IPv6

   • NAT64前缀：知名前缀为，64:FF9B::/96；也可以自定义前缀，前缀长度为：28，32，48，56
   • 静态NAT64映射：实现IPv6与IPv4用户之间互访
   • 动态NAT64映射：只能用于IPv6用户主动发起访问IPv4服务器

‍

PPP

一、定义：Point-to-Point Protocol，点到点链路层协议

• 对物理层，即支持同步链路又支持异步链路

• 具有良好的扩展性，例如在以太网链路上承载PPP同时，可扩展为PPPOE

• 提供LCP协议，用于链路层参数的协商

• 提供各种NCP协议（如：IPCP, MPSP），用于各种网络层参数协商，更好的支持网络层协议

• 提供认证协议CHAP、PAP，更好的保证网络安全

• 无重传机制，网络开销小，速度快

  • 

二、PPP三大协议组件：

三、PPP报文：

1. LCP协商

• PAP：Password Authentication Protocol，密码认证协议

  • 以明文方式发送密码，二次握手机制，发起方为被认证方，可以做无限次的尝试（暴力破解），只在链路建立的阶段进行认证，一旦链路建立成功则不再认证。

    • 报文类型	备注
      Authenticate-Request	被认证方发送用户名和密码
      Authenticate-Ack、Authenticate-Nak	认证方发送验证成功信息或认证失败信息

• CHAP：Challenge Handshake Authentication Protocol，挑战/质询握手认证协议

  • 以MD5隐藏密码，三次握手机制，发起方为认证方，有效避免暴力破解，在链路建立成功后具有再次认证检测机制

    • 报文类型	报文信息组成	备注
      Challenge	Identifier+随机数+用户名(可选)	认证方发送Challenge，发起认证过程
      Response	MD5(Identifier+密码+随机数)+用户名	被认证方返回用户信息
      Success、Failure		认证方发送认证成功信息或认证失败信息

• 配置接口PPP认证

  #配置接口封装协议
  link-protocol ppp
  

  • 认证方命令

    #配置PPP认证方式
    ppp authentication-mode chap/pap
    #配置认证参数
    aaa
    	local-user wakin password cipher huawei
    	local-user wakin service-type ppp
    

  • 被认证方命令

    #配置PAP认证
    ppp pap local-user wakin password cipher huawei
    #配置CHAP认证
    ppp chap user wakin
    ppp chap password cipher huawei
    

2. NCP协商

• IPCP：用于协商控制IP参数，使PPP可用于传输IP数据包

  • 使用和LCP相同的协商机制、报文类型，但IPCP并非调用LCP，只是工作过程报文等和LCP相同

• IPCP静态协商IP地址：

• 相关配置

  • 命令	备注
    ip address ppp-negotiate	配置接口的IP地址可协商属性
    remote address ip-address/poo name	配置为客户端分配的IP地址

  • 认证方

    #配置认证参数
    aaa
    	local-user huawei password cipher hello
    	local-user huawei service-type ppp
    #配置认证接口
    interface [number]
    	#配置封装协议为PPP
    	link-protocol ppp
    	#配置接口地址
    	ip address 12.1.1.1 24
    	#配置远程认证地址
    	remote address 12.1.1.2
    	#配置认证协议为chap
    	ppp authentication-mode chap
    	#配置认证用户
    	ppp chap user huawei
    

  • 被认证方

    #配置认证接口
    interface [number]
    	#配置封装协议
    	link-protocol ppp
    	#配置IP获取为PPP协商
    	ip address ppp-negotiate
    	#配置认证用户名
    	ppp chap user huawei
    	#配置认证密码
    	ppp chap password cipher hello
    

五、MP:MulitiLink PPP，将多个PPP链路捆绑使用

• 实现增加带宽、负载均衡、链路备份的目的

• 允许将报文分片，分片将从多个点对点链路上送到目的地，从而降低延迟

  • 

• 链路协商过程

  • LCP阶段，需验证对端接口是否工作在MP方式下
  • NCP阶段，根据MP-Group接口或指定虚拟接口模板的各项NCP参数（如IP地址等）进行NCP协商

• 实现方式：

  • 虚拟接口模板
  • MP-Group

• 相关配置

  #创建MP-Group
  interface mp-group [number]
  	#将指定接口加入MP-Group
  	ppp mp mp-group [number] to [number]
  #PS：配置完成后，需要重启所有成员接口
  
  #验证配置
  display ppp mp
  display interface mp-group
  

  • 认证方

    #配置认证账户
    aaa
    	local-user huawei password cipher hello
    	local-user huawei service-type ppp
    #配置MP-Group
    interface mp-group [number]
    	ip address 12.1.1.1 24
    #将接口加入MP-Group
    interface [number]
    	link-protocol ppp
    	ppp authentication-mode pap
    	ppp mp-group [number]
    

  • 被认证方

    #配置MP-Group
    interface mp-group [number]
    	ip address 12.1.1.2 24
    #将接口加入MP-Group
    interface [number]
    	link-protocol ppp
    	ppp pap local-user huawei pasword simple hello
    	ppp mp mp-group [number]
    

六、PPPOE：PPP Over Ethernet

• 把PPP帧封装到以太网帧中的链路层协议

• 是以太网网络中多台主机连接到远端宽带接入服务器

• 即Ethernet提供多台主机接入，PPP提供访问控制和计费

• 具有适应范围广、安全性搞、计费方便的额特点

• 组网结果采用Client/Server模型

• PPPOE报文结构和类型
  ​
  Code	类型	备注
  Ox09	广播PAD1	PPPoE发现初始报文
  0x07	单播PAD0	PPPoE发现提供报文
  0x19	单播PADR	PPPoE发现请求报文
  0x65	单播PADS	PPPoE发现会话确认报文
  0xa7	单播PADT	PPPoE发现终止报文
  0x00		会话数据

• 会话建立过程

  

‍