stub区域无法传递LSA4
H3C的OSPF一个接口是不能同时属于2个进程的.同一台路由器上开启2个OSPF进程实际上绝对隔离的,因此有可能2个进程学到一样的路由实现非等价的负载。
VLINK不能可以穿越骨干
VLINK必须建立双向的TCP连接,而且必须以对方的ROUTER ID为目标注意不是接口的IP地址。
VLINK无法穿越骨干区域。VLINK无法穿越STUB末梢区域或NSSA区域。
VLINK只能穿越1个区域,允许在2个非骨干之间建立VLINK。一个普通的区域,可以被多条VLINK穿越。
VLINK可以用来连接2个被分割开的区域0
OSPF的COST是计算的R1----R2 2端接口上的COST之和。!!!!
DR如果不存在了首先选的是BDR。
ASBR上可以聚合5类路由,ABR上无法聚合5类,abr只能聚合本区域到其他区域的路由,单向的OUT。ABR只允许聚合区域内部路由,无法聚合区域之间的路由
如AREA1---AREA0---AREA2 AREA2和AREA0之间的ABR,无法聚合来自AREA1的LSA3。
完全STUB会发默认路由的LSA3给区域里,其他的lsa3进不来
当ABR收到的LSA3,来自AREA0与非0区域的 一样时,ABR只会计算AREA0内的LSA3,不一样时,则计算ABR也能计算非0区的LSA3,也只会把AREA0的LSA3发给内部区域。
如图    R0---AREA0----R1--AREA1---R2---AREA0    当R1是ABR时只会计算左边0区域的LSA3,当他与左边0区断开连接的时候则降级成为了普通的路由器。会计算R2经过AREA1发给R2的LSA3了。
NSSA的缺省路由,需要配置ip route ,生成LSA7的默认路由,但是NSSA区域的ABR上如果配置defaulte rute adve...则不需要配置静态的默认路由也可以默认路由,NSSA区域的ASBR上,注意是之前就import过的R叫ASBR,它用defaulte...通告的默认路由在ABR上能够变成LSA5发送出去,而ABR自己通告的则无法转成LSA5,因为无法转换自己的默认路由,但对于其他的LSA7还是可以转换的。

LSA,中间,LINKID,DATA LINKTYPE 3个字段的意思分别是LINKID是链路的标致不同类型填不同值,DATA,是说这条LSA是谁生成的,通过那里发出去,通常是始发现该链路结构的接口IP,LINKTYPE,有VLINK,P2P,TRANSIT,STUB 4中,他们是可以组合的如PPP链路,就有STUB,和P2P P2P就是ROUTER类,STUB分为2中情况如果仅仅是链接一个子网,我本路由器是最后一台R就会形成STUB但是P2P也会出现STUB P2MP的时候是属于多个点到点的结构因此也是STUB加ROUTER结构,但是它生成的是主机的路由,会形成一个子网的LINKID,而TRANSIT,是传输区域的意思,当NBMA和广播网络中有多台在一个网段的OSPF路由器,会出现transit描述的是DR的接口IP,而如果本网段内只有我一台R,则会生成STUB结构的链路特性。



OSPF只对引入的路由进行出方向的过滤。



R1=========R2---|     R1和R2之间是2条等价链路,上面的链路是区域1     下面的链路是区域2      R2背后是区域0
问R2背后的链路如何才能完美的发布出去,让R1上形成2跳等价路由
可以引入可以network可以建立VLINK
此时如果是建立vlink则2边的区域0里的路由是属于区域内部路由因为vlink把area0连通了。
AS-PATH,的源自于某AS其实是放在列表最后的,离你最近的是最前面



在其他路由协议视图下,引入BGP路由时,默认的情况下只能引入EBGP的路由在VRP3.4时候可以用allow-ibgp把IBGP引入。
在关闭同步的时候,边缘路由器,必须DENY,IGP所学到的和IBGP一样的那些路由信息,为的是能够保证IBGP的路由被优选,否则,BGP会选择本地IGP的路由放在路由表内,导致IBGP的路由不被优选,最后不能发布到对方的AS内。当然当打开同步的时候,IBGP则能自动进入路由表,且被优选,即使IGP比IBGP的优先级别更大。



丢弃优先级别有3种012 ,越小越高。
--------------------------------------------------------------------------------------------------
经过实验证明
AREA0----AREA1----AREA2----AREA3。
AREA0和2之间用VLINK链接之后,区域0就被扩张到了AREA2的ABR上了,area2与AREA1之间的路由器维护3个数据库0.1.2
这个时候AREA3也发起VLINK连至AREA1和2之间的ABR,因此区域0又被扩张到了AREA3和2之间的ABR,此时该ABR维护3个数据库
0,3,2
当配置VLINK之后本路由就会生成AREA0的LSDB,即使他没有和AREA0连。



重大发现VLINK是在虚拟一个区域0




----R0----AREA1--R1--AREA2--R2--AREA3--R3--AREA4---R4



R0要PINGR4
可以这样做,在R1和R2 以及R2和R3上建立VLINK就能办到。可以LAB系




另外一个ospf跟bgp做同步的时候router-id要一致



任何路由协议在引入路由的时候携带路由策略,主要是作为了一个引入路由的条件,只有符合策略的时候路由才能被引入。



---------------------------------------------------------------------------------------------------------------------------
BGP在CISCO里可以关闭过度区域的同步,引入路由,此时边缘路由器虽然已经知道了IGP也有某路由,且IBGP也有,这个时候IGP进了路由表,
H3C中这样的情况无法优选IBGP,因为IBGP没有IGP好,CISCO里IBGP的路由一样会被优选,不过是表了个小的r,表示IGP内有该路由无法放入路由表内。




为H3C不支持该特性,可能要开同步吧 

<firewall_f100A>dis bgp rout 
  
 
  

    Flags:    # - valid         ^ - active        I - internal 
   
          D - damped        H - history       S - aggregate suppressed 
   
  
 
   
      Dest/Mask            Next-Hop          Med          Local-pref Origin Path 
   
     -------------------------------------------------------------------------- 
   
# I 192.168.0.0/30       192.168.0.2       0            100           IGP    
   
# I 192.168.1.0          192.168.0.2       0            100           IGP    
   
  

        Routes total: 2 
  
 
  

    <firewall_f100A>dis ip rout 
   
Routing Table: public net 
   
Destination/Mask     Protocol Pre    Cost          Nexthop           Interface 
   
0.0.0.0/0            STATIC     60     0             220.202.178.1     Ethernet1/0 
   
127.0.0.0/8          DIRECT     0      0             127.0.0.1         InLoopBack0 
   
127.0.0.1/32         DIRECT     0      0             127.0.0.1         InLoopBack0 
   
192.168.0.0/30       DIRECT     0      0             192.168.0.1       Ethernet0/0 
   
192.168.0.1/32       DIRECT     0      0             127.0.0.1         InLoopBack0 
   
192.168.1.0/24       STATIC     60     0             192.168.0.2       Ethernet0/0 
   
<firewall_f100A>dis version 
   
H3C Comware Software 
   
Comware software, Version 3.40, Release 1608 
   
Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. 
   
All rights reserved.

----------------------------------------------------------------------------------------------------
AREA1--ABR1----AREA0-ABR2-AREA2
比如现在ABR1生成了关于AREA1的3类LSA,那在ABR2上能不能汇总了通告到AREA2中去



答案是不能,所有路由在AREA0中的RID都是初始者的ID,ABR只能对OUT方向的,且要是我自己转换成LSA3的路由信息进行汇总,RID不是自己,或不是OUT方向,(注意方向是相对的,AREA0-->AREA1    AREA1<---AREA0,是相对的OUT的ABR在中间)都无法进行汇总,尤其是不是自己始发的
------------------------------------------------------------------------------------------------------
关于BGP的负载分担,只有EBGP支持,IBGP不支持。CISCO的maxium-path ibgp是做啥用的?
dampening 命令只对从EBGP 邻居学到的路由进行衰减,对IBGP 路由不进行衰
减。可达半衰期,是对对方发送过来的可达路由进行衰减,不可达半衰期是对对方发送过来的不可达路由进行衰减(即对方发送的不可达路由)。
路由上下出现一次,表示一次FLAP,即增加1000的惩罚值
-----------------------------------------------------------------------------------------------------------------
关于BGP的反射器,反射orgagingID是反射器将某路由的RID替换来的,而CLUSTERID是反射器自己的。ORGAGINGID是起源的意思,在选录的时候选择值小的,
而CLUSTERID是一个LIST列表,表示经过的反射次数,选择的是短的。他们都可以用于防止环路。



反射器,在华为内,反射器不能将IBGP的路由强行定义NEXT-HOP地址,只有EBGP可以。cisco可以
------------------------------------------------------------------------------
带宽是被共享的,因此当做QOS的CAR的时候如果某用户的,没有被限制带宽,则可能会由于,不限速度的用户流量过大而抢占,你所用CAR保证的用户。此时需要用队列技术。



QOS的一些基本概念。
CIR=放置令牌到桶内的速度这个是一个平均值单位是bps,即1秒内放的令牌个数。  
CBS=令牌桶的尺寸大小
业务流的速度=取令牌的速度
TC=周期性添加令牌的时间间隔cbs/cir=tc
实际中比较常见的有两种实现方式:(1)周期性的添加,添加的时间间隔就是令牌桶的容量与添加速率的比值:T c=CBS/CIR,每次添加的令牌数为CBS 个;
还有种(本次加入令牌的时间-上次加入令牌的时间)XCIR 超额的被丢弃,这种是一次加满没有TC间隔的。TC会增加时延
突发=瞬间消耗桶内所有令牌
EBS=CBS+EBS请不要把EBS和CBS的值设置成一样,否则,超额突发=0最好是大于CBS的2倍,这样允许超额突发



CIR=CBS,EBS=0 则速度就是CIR所约定的,因为CIR是放令牌的速度最终要看CBS是桶大小,这个时候CBS限制了CIR能放的令牌量。
此时业务流量如果持续小于CIR,则会得到CBS的突发量。因为小于CIR是放令牌的速度,业务持续小于CIR,会使得令牌在桶内累计。此时业务如果大于CIR,会因为得不到令牌而被丢弃



CIR>CBS,EBS=0 则速度是桶子的突发尺寸CBS所定义的,此时因为CIR是放置令牌的,但是桶没有CIR所需求的大。那么业务流这个时候只能得到CBS大小的令牌,突发的频率很高,只要业务达到CIR的速度,则每次都会把桶内的令牌消耗完,当然业务流不一定每次都能达到CIR的速度。



CIR<CBS ,EBS=0 则发送的速度是CIR所定义的,但这个时候网络允许突发,即有可能网络会发送到CBS所定义的尺寸,当然一旦突发,桶内的令牌就没有了,这个时候需要等待TC周期,(TC=(CBS+EBS)/CIR),因此可能会增大网络时延,当然这只是突发流量才会。这个时候业务速度如果比CIR小,则可能累计出大于CIR的突发流量。因为会持续向桶内添加令牌,直到超过EBS,最后令牌将被丢弃,所以业务如果不去取令牌,会导致令牌积压,之后业务将得到突发。但是如果业务很平均,则不会导致突发,因为CIR每次放入的令牌,都被用户取掉了,当然业务一般不会很平均,因此CIR注入的令牌也不一定能消耗完每次,这样就看你的令牌桶是否允许业务突发了。



因此得出,推荐配置CBS=CIR    EBS大于CBS的2倍          最小值=8000/8=1000B,CBS最小=15000/8/1024=1.8KB,CBS最小刚好大于了MTU的1500字节,因此无论如何都可以发出一个数据包的,如果它小于了1500.EBS此时等于0则可能连一个包都发不出,因此不允许小于1.8KB。CIR的速率如果这个时候大于了CBS,则在1秒内超过CBS桶子的尺寸,将被认为是EBS的,EBS=0,因此直接丢弃了。
CIR=8000 CBS=15000 EBS=0 这样的配置,会得到的结果是速度是1000B/s 允许突发到1800B/S 1秒内超过1800B的包就被丢弃。
推荐CBS=CIR的设置,这样不允许突发虽然,但是业务流速度得到保证。
TC可以用来调节业务的时延,(它是不可以配置的,由CBS/CIR=TC得到)因为它是向CBS桶内加令牌的时间间隔。一个业务最多可以得到的就是CBS的令牌数,不过这个还需要累计,在TC时间内,只能加入CIR所设定的令牌数目,因此想达到CBS的量,可能需要积蓄几轮CIR.
降低TC时间可以增加业务突发次数,这样可以获得小时延。
而业务一般,突发,需要累计否则可能是CBS<CIR时那TC时间很小。
其实业务的速度是靠CIR来限制的,业务的时延是靠TC来调节的,但TC是不允许配置的,因此只有CBS和CIR来控制TC。CBS越大TC越大,业务的突发时延间隔越大。



结论,最好将CBS=cir。
我司实现的令牌桶算法是srTCM,但是算法上作了一定的改进,所谓的单桶双色算法。EBS可以配置,但是没有起应有的作用,而是把这个桶放到CBS中,起加深CBS桶的作用。CBS和EBS是合起来算的,也就是说实际的CBS=配置的CBS+EBS。那么当有报文来时,如果报文长度B大于实际的CBS就是红,小于实际的CBS就是绿,没有×××报文。初始时令牌是满的
在CBQ队列中的AF类,可以提供确保的带宽,即使有拥塞的时候可以确保,EF类是加速的转发可以定义暴发值,它定义的是发送的最大速率,EF类不可以和AF,以及queue-leght同时使用CBQ系统预先定义过一些策略,CBQ的类是用动作方进去的如AF EF,BF。是先需要IF-MATCH之后才能抓到流,然后方到队列执行动作,他们都有一个保障带宽。AF是最小多少,EF是最大多少。taffic-policy是用来进行动作嵌套的,只能嵌套2层。而且要注意父子之间的动作关系,一般是子的动作优先。
CBQ可以预先定义一个给CBQ所使用的带宽,RTP,需要在接口上预留带宽给RTP。H3C只有CBS桶,加令牌的数目是 (当前系统时间-上次加令牌时间)XCIR ,多出来的丢弃
策略中使用具有lr 的行为时,只能应用到接口的出方向。LR是最好的与队列结合的限速,因为可以限制2层速率,而且还有QOS队列调度拥塞EF类其实就是LLQ队列,因此仅仅支持RED丢弃
如果多次使用本命令在同一个行为上配置,后一次的配置将覆盖前面的配置。




在策略嵌套中配置限速,请遵循下面原则:
?? 父策略中必须先配置限速(通过lr 或lr percent 命令配置),子策略中才能配
置队列。若子策略中配置了队列,使用子策略中的队列长度(qos gts 命令配
置)。如果父策略中配置了限速且子策略中没有配置队列,则限速使用FIFO
队列,队列长度取固定值200。子策略配置队列后,父策略中相应的限速不允
许删除。
?? 若父策略中配置的是lr 命令,子策略的队列可以配置lr 命令或lr percent 命
令形式;若父策略中配置的是lr percent 命令,子策略中必须配置lr percent
命令形式。
在ATM 和FR 接口上配置限速,请注意以下几点:
?? LR 特性不能被应用在ATM 接口上,只能被应用在ATM PVC 上。
?? FR PVC 上只能配置lr,不允许配置lr percent。
?? FR 接口如果配置了fr traffic-shaping,则接口策略中不允许再配置LR。




-------------------------------------------------------------------------------------------------------
在FR网络内,没有CBS的情况下,即不允许突发,业务报文将等于CBS。TC的大与小直接影响业务时延。
帧中继流量×××方案中为了提高效率,提出了动态Tc 的概念。Tc 参数的大小在10 到
100 毫秒之间,可根据每次发送的报文大小进行动态调节,Tc=size of packet/CIR。
即无论待发送报文大小为多少(小于1500 字节),路由器都会在当前计算出的Tc
时间内,将所需要的全部令牌分发给当前报文



如发送一个800 字节的报文,需要800×8=6400bit 的令牌。设CIR 为64000bps,
则向令牌桶中添加发送该报文令牌需要的时间为6400/64000 = 0.1s(即100ms),
即对于该报文来说Tc 为100ms。100ms 之内令牌桶中添加了6400bit 的令牌,该
报文即被送出。特殊的,此时如果CIR 为8000bps,业务等于64000bit则该报文的令牌时间为
64000/8000=800ms>100ms,但是由于Tc 参数大小被定义在10ms 到100ms 之间
滑动,此时Tc 取其下限值为100ms,而不是计算得到的800ms。同样的,如果此
时CIR 为1024000bps,则该报文的令牌时间为6400/1024000=6.25ms<10ms,但
是由于Tc 参数大小被定义在10ms 到100ms 之间滑动,所以该报文的Tc 取其上限
值10ms。
由于CBS 与EBS 的和是令牌桶的大小,同时路由器是一次性分配令牌给待发送报
文,为了使令牌桶中的令牌能够满足任何大小报文的发送,特别是大报文的发送,
比如1500byte 的报文,该报文发送需要1500×8=12Kbit 的令牌。故CBS 不得小于
15K,同时建议客户配置CBS 的大小等同CIR 的大小。
按照标准协议中规定,若Tc = 20ms,CIR 为64000bps,则每个Tc 时间内只能添
加0.02×64000 = 1280bit 的令牌。如发送长度为800 字节的报文需要5 个Tc,即
添加5 次令牌才能将该报文发送出去。与标准协议的实现方式相比,我们在一个动
态Tc 中只需添加一次令牌就可将该报文发送出,大大提高了提高工作效率




-------------------------------------------------------------------------
PIM必须要和IGMP一起使用路由器上必须要开启IGMP,组播工作之后,接入的PC可以没有路由到源。
有时候PIM也会有冗余流量当存在冗余路由时,就有。一个PIM区域只能有一个BSR,但是可以有多个C-BSR,因为要备份。
一个PIM区域内可以有多个RP,默认的时候一个RP为所有的组提供服务。一个组只能有一个RP,当然如果2个RP的地址一样则可能存在多个RP,
这个是RP欺骗负载。RP可以使用grup策略做到,不同组映射到不同RP。否则它为所有组提供服务。当然BSR可以使用HASH算法映射每个组的RP,具体
要看使用的MASK,越长范围越精确,C-RP将自己能够服务的组,以及自己的选举信息单播到BSR处。再由BSR将这些信息发给接收的DR,DR使用HASH算法,
从候选RP的列表里,映射一个可以为它提供服务的RP。对于源的DR则把组播访问放在单播包内,发给它自己HASH出的RP。
在小型网络里可以使用静态RP进行选择,
默认的时候C-RP是对所有组的,因此有以下情况。224.1.1.1真正的RP是针对某个组而言
1 如果BSR通告的RP-SET,对应的该组地址的C-RP只有1个,即只有1个C-RP能够接受该组的加入。则采用该C-RP做RP。
2 如果在本网络里有多个C-RP,该RP是对所有组服务的(只要没有配置组策略)则优先级别数字最小的,为本组的RP。
3 如果大家的优先级别相同,那就用HASH计算把组播地址,以及HASH的掩码,(BSR的掩码越小越精确)和C-RP的IP以及计算,得到的结果越高,越优先
4 如果以上结果还是一样,则选择IP地址小的为本组播地址的RP。
HASH的BSR的掩码,可以使得多个组使用一个RP,如掩码为30,则会有00 01 11 10    4个组地址当然他们的前缀是已经确定好的如224.1.1.0 224.1.1.1 224.1.1.2 224.1.1.3这4个组地址就会使用通一个RP从而实现负载。
关于RP的负载可以使用手工配置ARTRP,即LOOPBACK相同
或使用HASH的MASK,或使用策略分流。
S---RP----DR,S与RP之间是SPT树,RP与DR之间是RPT树,从源到RP的PIM路由器全部生成(S,G)表,从RP到接受放,全是(*,G)
切换,当组播树的最后一个路由器收到了组播包之后,就会知道源的地址,因此应该要切换成SPT树,当然可以定义为不切换infinity ,也可以指定一个阀值,
则在阀值之内属于RPT树,超过阀值,属于SPT树,也不会切换回RPT。(注意是在PIM的边缘路由器上配置)
____________________________________________________________________________________________
NAT的解决重叠地址问题,是使用一个零时地址池,在R上配置零时地址池与重叠地址的映射关系,而后进行源和目标的同时转换做到的,
当然它仅仅只能把 外部的源地址转换成零时地址池的IP,之后内网用户认为是零时池里的地址成为它的目标,因此不会把数据发到内网重其他与外部重叠的地址上,
但这仅仅是对于外部回来的数据有意义。
---------------------------------------------------------------------------------------
L2TP中只要配置认证,地址池就必须写在域下,如果不配置认证,记得一定要配置LCP重置,否则PPP协商会失败。
______________________________________________________________________________________________




isis的负载位以及UP/DOWN位,只在分片LSP的第一个分片即0号分片的时候发出去。而且OVERLOAD位,一旦设置了别人就要绕它而行,只会计算它的直连路由,对于
它发送过来的非它自己直连的路由则不予计算,此可以和BGP协同工作,解决临时的黑洞情况。BGP收敛时会告诉ISIS,将OL
位清理掉。set-overload-bit [on-startup [<timeout> | wait-for-bgp] ] ,可以定义一开始就发出OL的LSP,也可以定义和BGP结合。检视BGP的KEEPALIVE(timeout定义的是overload的时间)
ISIS在广播网络上发送LSP是不可靠的,只是发CSNP,而在PPP链路上或P2P的环境下,首先是发CSNP,之后是发PSNP,PSNP有确认的作用保证了可靠。
ISIS建立邻居会协商MTU,以及是否在一个网段内,(H3C新特性PPP链路才能取消)ISIS的默认路由,需要手工配置,且默认是会发送给2个区域的L1L2。
可以使用路由策略改变这条路由发送是L2还是L1或是L1L2,apply定义。?filter-policy对于引入的路由还是可以起到过滤作用的,因为是路由信息。
ISIS的区域是针对一台路由器而言的而非接口。ISIS可以在接口上指定COST,默认是10窄度量,也可以在系统模式下给所有接口指定度量,也可以
使用auto-cost,此时对与宽度量和窄度量的计算不一。。通过使用路由策略,可以强制IS-IS 只在路由表中有匹配的路由项时才生成缺省路由。
ISIS支持域认证,是针对L2级别的IS的,整个L2的IS必须配置一样的域认证。
ISIS的路由计算是基于层次进行的,而不是区域,如R1-AREA1--R2--AREA2--R3     R2配置2个NET分别属于区域1和区域2,则可以使得2个区域合并到L1层,路由计算平滑
过度,要分割区域也很简单,把R2的NET去掉一个,就分成了2个区域,而且无法合并区域到1层,因为不同区域的L1是无法建立邻居的。但是他们如果都是L2的邻居关系,
则可以R2上不需要配置多个NAT,也可以,因为L2层是可以跨越区域的。ISIS的电路ID,实际它仅仅是用来区分工作与本IS的接口用的,不同的接口电路ID一定不一样,
在DIS中用于区分,本IS在不同区域中的DIS。SRM,发送路由选择消息,SSN发送序列号选择消息。SSN是在接受路由没有确认时点到点链路定义的,SRM是发出路由未得到确认时定义的。



----------------------------------------------------------
gre 默认是没有 keepalive机制的,需要手工配置。
-----------------------------------------------------
数字签名技术多数是使用的HASH算法,但是也有使用RSA的,签名中我用私钥签名,你用公开的密钥解密,你发数据给我的时候
用我的公钥加密,发到我这里来了,我可以用私钥解密。IPSEC的NAT穿越2边都要配置,因为这样才能解开IPSEC OVER IKE的包,并且,客户那边一定要配置到remote-ip 服务器公IP,服务器和客户都必须配置名字以及远端名字这个是身份认证
--------------------------------------------------------
RMON监控是SNMP协议的一个扩展,它能够使得SNMP原本需要利用网关工作站做的事情在本地就完成,然后发给工作站从而较少对网络带宽的占用,主要有,事件 告警 历史    统计 4项都可以在本地完成,
snmpv3版本线需要指定SNMP组,然后为组内添加用户,客户端用该用户的名字和密码登录 完全加密。配置用户名和密码之前最好先配置引擎ID。否则可能操作无效 SNMPV3可以自己定义所访问的MIB视图
SNMP组的用法 

snmp-agent group { v1 | v2c } group-name [ read read-view ] [ write 
   
write-view ] [ notify notify-view ] [ acl acl-number ] 
   
snmp-agent group { v1 | v2c } group-name acl acl-number 
   
snmp-agent group v3 group-name [ authentication | privacy ] 
   
[ read read-view ] [ write write-view ] [ notify notify-view ] [ acl 
   
acl-number ] 
   
snmp-agent group v3 group-name acl acl-number



建立一个SNMP组,同时指定该组所使用的视图,只读以及可写还有通报(新) 以及限制访问。
V3本本内可以指定这个组采用的认证方式是私有还是认证,如果不指定视图则采用默认视图,即用户在V1V2中
输入只读或可写团队所能看到的默认视图。



为一个SNMP 组添加一个新用户 

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl 
   
acl-number ] 
   
snmp-agent usm-user v3 user-name group-name 
   
[ [ authentication-mode { md5 | sha } auth-password ] [ privacy des56 
   
priv-password ] ] [ acl acl-number ]


给相应的组添加用户,对于V3版本这个时候可以指定添加相应的用户名和密码以及认证加密的类型,这样在客户段那边
到时候只需要填写相应的密码就能获得相应的视图权限。对于V2版本只需要输入团队。
支持子定义读写视图,利用snmp-agent mib-view {include|exclude} lvshujian interface
该句是建立一个 名为lvshujian 的视图 该视图监控的是interface 这个OID,
之后可以在组视图中引用这个视图如snmp-agent group v3 lv privacy read lvshujian write lvshujian
之后将用户加入到组,然后在客户方输入相应的用户名就可以看到私有自己定义的视图了。
-------------------------------------------------------------------------
EOIP特性支持跨越公网直接传递E太网信息。具备E太网的特征
____________________________________________________
SSH2.0使用的是DSA,1.0是RSA,所有信息几乎都是加密的很安全的。
--------------------------------------------------------
BGP的团队列表,可以用于匹配某些特定的路由,同时可以对该路由附上公认团队的动作,但团队属性不能单独使用必须和router-policy结合
定义一个团体属性列表,匹配团体号65400:10,且同时携带的有 no-export-subconfed 公有团队的路由
[Quidway]ip community-list 1 permit 65400:10 no-export-subconfed
router policy lv permit node 1
if-math community-list 1(如不指定if-match 子句,则所有路由信息都会通过该节点的过滤)
apply community 10:10 (直接修改某团队的值)
apply community 1:1 additive (向已有团队追加一个新的团队)
peer tolvshujian router-policy export
peer tolvshujian advertise-community (无论是转发还是修改的都必须加这个)
可以使用acl 100
rule permit ip source 1.1.1.0 0.0.0.0 dest...    255.255.255.0 0.0.0.0 来精确匹配一条路由,这个是默认的时候ACL没法办到的。
---------------------------------------------------------------------
对于支持DAR特性的设备支持CBQ中的流匹配应用层的内容。traffcie class...


转载于:https://blog.51cto.com/840422/242855