2024年2月28日发(作者:止江雪)
BridgeOS操作系统技术宝典
开发单位:北京盈捷万通网络智能设备
公司地址:北京昌平区超前路37号6号楼A单元A1603室
:
技术支持:
进入BridgeOS操作系统
BridgeOS是一个操作系统〔Bridge Operating System〕。21世纪初 bri-os 开发研制的互联网业务化软硬件产品。主要用于ISP〔互联网接入提供商Internet Service
Provider〕的接入业务平台和技术实现平台,由X86硬件计算构架和自主研发的bridge操作系统相结合的软硬件于一体的商业化产品。区别于交换机、路由器的网桥操作系统。交换机根据MAC地址进行转发,路由器根据IP地址进行转发,网桥根据端口进行转发,默认情况下BridgeOS是一对一模式的网桥设备〔一台设备有多个桥〕,可以自由配置成一对多或是多对一的网桥。支持常用的WEB、Telnet、console等管理方式。BridgeOS需要授权获得License后才能正常工作。
功能简表:
2
3
4
5
6
7
8
9
1流量管理
TTL跳数管理 / P2P上行流量管控 / IMCP管控
PPPOE计费系统到期提醒 / 内外网分开限速 / 网监 / 业务OA平台PPTP Client / PPTV Server / VPN-PPTP计费系统NAT
根据联通电信地址段做NAT / 根据冷门阀值做NAT / 根据应用层特性做NATIP替换 / 图片显IP(动态图片) / 探测数据包识别(冷门) /
上行流量管控 / 修改MSS / 3元组流量均衡IP保护ADSL捆绑
DNS缓存加速网页加速缓存 / 静态 / 递归 / 转发 / 域名不存在应答指定IP小文件 / 内存存储 / 无IO / 桥接模式
视频下载缓存WEB认证大文件 / 硬盘存储 / 有IO / 重定向方式
11
12
13
14
15
10
udp代理 / tcp代理 / 代理 / dns代理 / 游戏代理多出口断网识别 / 自动切换出口 / 流量均衡
断网保护
广告业务
主机代理企业专线接入管理流量分流
JS嵌入 / URL替换 / 广告ID替换 / 抢先应答
到期自动断网 / 自动识别下层VLAN漫游
p2p流量 / 游戏流量 / 网页流量 / 下载流量 / 视频流量 / 调度流量页码:1/45
1
17
16
数据分析
网监日志QQ / Weibo / Mail / 带登陆注册类的所有敏感信息在数据挖掘和缓存部署中配合使用的辅助技术
参数
NAT并发数
用户数〔软件没有限制〕
策略路由
负载均衡
网监
千兆
默认 1572864
大约 45000
支持
支持
3个月
万兆
默认 6291456
大约 3万
支持
支持
3个月
桥接口名称/物理接口对应关系:
interface
桥
类型
物理接口
说明
interface bridge 0/0
LAN
g 0/0
WAN
g 0/1
interface bridge 0/1
LAN
g 0/2
WAN
g 0/3
interface bridge 0/2
LAN
g 0/4
WAN
g 0/5
interface bridge 0/3
LAN
g 0/6
WAN
g 0/7
g = gigabitethernet,LAN=内网,WAN=外网
PPPOE效劳名称/PPPOE接口名称
interface
PPPOE
效劳名
桥
类型
物理接口
说明
interface pppoe 0/0
interface bridge 0/0
LAN
g 0/0
WAN
g 0/1
interface pppoe 0/1
interface bridge 0/1
LAN
g 0/2
WAN
g 0/3
interface pppoe 0/2
interface bridge 0/2
LAN
g 0/4
WAN
g 0/5
interface pppoe 0/3
interface bridge 0/3
LAN
g 0/6
WAN
g 0/7
g = gigabitethernet,LAN=内网,WAN=外网
以下是BridgeOS的参考型号
型号
桥
PPPOE
效劳名称
interface bridge 0/0
interface pppoe 0/0
D252-6E500G-4G
interface bridge 0/1
interface pppoe 0/1
interface bridge 0/2
interface pppoe 0/2
页码:2/45
2
组网类型
物理接口名称
默认IP
速率
LAN
g 0/0
无
千兆
WAN
g 0/1
10.0.1.99
千兆
LAN
g 0/2
无
千兆
WAN
g 0/3
无
千兆
LAN
g 0/4
无
千兆
WAN
g 0/5
无
千兆
实际转发
接口类型
RJ45(电口)
RJ45(电口)
共享2Gbps
RJ45(电口)
RJ45(电口)
RJ45(电口)
RJ45(电口)
说明
g = gigabitethernet,LAN=内网,WAN=外网
最大7000个同时在线用户,网监日志保存3个月
管理方式:console / telnet / WEB
://192.168.1.99/
型号
桥
PPPOE
效劳名称
组网类型
物理接口名称
默认IP
速率
接口类型
interface bridge 0/0
interface pppoe 0/0
LAN
g 0/0
无
千兆
RJ45
电口
WAN
g 0/1
10.0.1.99
千兆
RJ45
电口
E3v21230-2E6F1T-8G
interface bridge 0/1
interface pppoe 0/1
LAN
g 0/2
无
千兆
SFP
光口
WAN
g 0/3
无
千兆
SFP
光口
interface bridge 0/2
interface pppoe 0/2
LAN
g 0/4
无
千兆
SFP
光口
WAN
g 0/5
无
千兆
SFP
光口
interface bridge 0/3
interface pppoe 0/3
LAN
g 0/6
无
千兆
SFP
光口
WAN
g 0/7
无
千兆
SFP
光口
说明
g = gigabitethernet,LAN=内网,WAN=外网
最大14000个同时在线用户,网监日志保存3个月
管理方式:console / telnet / WEB
://192.168.1.99/
型号
桥
PPPOE效劳名称
组网类型
物理接口名称
速率
E3v21230-2E2W1T-8G〔万兆〕
interface bridge 0/0
interface pppoe 0/0
LAN
g 0/0
千兆
WAN
g 0/1
千兆
interface bridge 0/1
interface pppoe 0/1
LAN
g 0/2
万兆
WAN
g 0/3
万兆
实际带宽
接口类型
RJ45
电口
RJ45
电口
共享8Gbps
SFP+
光口
SFP+
光口
页码:3/45
3
g = gigabitethernet,LAN=内网,WAN=外网
最大38500个同时在线用户,网监日志保存3个月
管理方式:console / telnet / WEB
://192.168.1.99/
说明
BridgeOS系统以接口形式对系统进行管理,一共包括3种接口类型:物理接口、桥接口和PPPoE接口。根据不同接口类型,每种接口的个数不同。其中,物理接口有8个,对应着8个千兆以太网物理接口,桥接口有4个,对应着4个网桥,PPPoE接口可有4个,对应着4个PPPoE效劳的配置。如下表。
网桥的默认VLAN特性:VLAN穿透
LAN/WAN方向的数据包保持原VLAN不变,对VLAN直接穿透。
原始
VLAN2
原始
VLAN2
原始
VLAN3
保护不变
VLAN2
保持不变
VLAN3
保持不变
VLAN4
SFP部署过程过中VLAN的穿透要关闭SFP的对VLAN的处理
方法如下:hardware features vlan force-off
BRI#configure terminal
BRI(conf)#interface gigabitethernet 0/0
BRI(conf)#hardware features vlan force-off
BRI(conf)#exit
注:只有SPF才需要关闭vlan features
命令语法:
BRI#configure terminal 进入配置模式,将改变命令提示符
BRI(conf)#interface gigabitethernet
进入接口配置模式,将改变命令提示符
BRI(conf)#hardware features vlan
为了便于阅读,BridgeOS操作系统采用配置模式对设备上的配置进行分类管理。默认在根模式下,根模式不能添加修改配置,只能查看调试设备。
模式
根模式
全局配置模式
物理接口配置模式
页码:4/45
提示符
BRI#
BRI(conf)#
BRI(conf-g)#
进入方法
默认
BRI(conf)#configure terminal
BRI(conf)#interface gigabitethernet
4
桥配置模式
PPPOE效劳配置模式
DNS效劳配置模式
Cache缓存加速配置模式
主机代理配置模式
VPN-PPTP配置模式
代理配置模式
专线虚拟接口配置模式
BRI(conf-b)#
BRI(conf-p)#
BRI(conf-dns)#
BRI(conf)#interface bridge
BRI(conf)#interface pppoe
BRI(conf)#service dns
BRI(conf-web-cache)#
BRI(conf)#service web-cache
BRI(conf-host-proxy)#
BRI(conf)#service host-proxy
BRI(conf-pptp)#
BRI(conf- -proxy)#
BRI(conf-v)#
BRI(conf)#service pptp
BRI(conf)#service -proxy
BRI(conf)#interface virtualethernet
页码:5/45
5
BridgeOS系统根本操作
根本命令:
do命令
在任意模式下,命令前缀加do可以将当前模式临时改为根模式。
如:BRI(conf)#do write 相当于BRI#write
删除配置的命令
从根模式进入配置模式,所有配置操作都要在配置模式下操作,根模式仅能查看配置或保存配置。命令将改变命令提示符
查看当前配置
保存当前内存配置到硬盘。当BridgeOS的配置被修改时,配置只是在内存中生效,设备重起后因为内存断电面丧失,要希望设备重起后配置有效需将内存中的配置保存在硬盘中。本命令就是从内存中的配置保存在硬盘中。
退出当前模式,返回上一级模式
如 BRI(conf)#exit 返回到 BRI#
配置操作系统的名称
配置操作系统的密码
检查网络是否连通,可以很好地帮助我们分析和判定网络故障;不写
修改BridgeOS的系统时间,当设备有网监功能时要检查系统时间是否正常。
查看ARP表
查看BridgeOS操作系统的版本信息
version 是版本号
time 是系统当明时间
uptime是系统能电时长
dev id 是系统的序列号,每一台BridgeOS设备都有一个唯一的devid
查看操作系统授权
version 授权版本号
permission 授权刷新时间戳
last 刷新授权的随机数
6
no命令
BRI#configure terminal
BRI(conf)#
BRI#show running-config
BRI#write
BRI(conf)#exit
BRI(conf-b)#exit
BRI(conf)#hostname
BRI(conf)#password
BRI#ping
BRI#clock
BRI#show arp
BRI#show version
BRI#show license
页码:6/45
BRI#telnet
BRI#reload system
BRI#reload policy
从本机telnet到另一台支持telnet的设备
重起设备
重新加载NAT配置
背景案例1:查看所有配置
IPV6#show running-config
OK
configure terminal
hostname IPV6
interface gigabitethernet 0/0
ip address 103.242.203.82 255.255.255.252 secondary
ip address 4.42.2.2 255.255.255.0 secondary
hardware features vlan force-off
proxy arp 2.3.4.3 33:33:33:33:33:33
!
interface gigabitethernet 0/1
ip address 192.168.1.99 255.255.255.0
ip address 5.5.5.5 255.255.255.0 secondary
hardware features vlan auto
!
interface gigabitethernet 0/2
ip address 10.0.3.134 255.255.255.252
hardware features vlan force-off
proxy arp 1.1.1.1 88:88:88:88:88:88
!
interface gigabitethernet 0/3
--more--
案例2:查看接口interface gigabitethernet 0/0
BRI#show interface gigabitethernet 0/0
GigabitEthernet 0/0 is UP (interface RFC2863 OPER_UP)
103.242.203.82 netmask: 255.255.255.252
MTU 1500 bytes, HWaddress is 28:51:32:03:22:B0
Speed 1000Mb/s
Duplex Full
Port type is FIBRE
Auto-negotiation: on
Link connected: Yes
Supports auto-negotiation: Yes
Advertised auto-negotiation: Yes
traffic and error:
RX: err 0 drop 0 overrun 0 farme 0
TX: err 0 drop 0 overrun 0 carrier 0
RX 0 Mbps 7 pps T: 5366 Mb, 3669294 pkt
TX 0 Mbps 3 pps T: 8151 Mb, 3263680 pkt
BRI#
案例3:查看版本信息和授权信息
页码:7/45
7
IPV6#show version
YJWT system
version 2.r1941
time 2021/05/02 10:22:27 AM, Friday
uptime 38day 0hour 16min 57sec
dev id b105daa
IPV6#show license
version : 2.r1941 /2.r1477(newest)
permission : 0y 10m 19d 17h, yingjie networking
last : 7578886955/7578886533
IPV6#
页码:8/45
8
常规配置
默认情况下BridgeOS的桥工作在层2交换模式,切勿将LAN和WAN直接连接在同一个交换机上以防止层二的播送环路。
配置IP地址/网关/DNS
案例1:配置设备interface gigabitethernet 0/0的IP地址为:192.168.1.99/255.255.255.0 网关为192.168.1.1, DNS:8.8.8.8, 管理密码为:abc123,设备名称为:SDHT
BRI#configure terminal
BRI(conf)#interface gigabitethernet 0/0
BRI(conf-g0/0)#ip address 192.168.1.99 255.255.255.0
BRI(conf-g0/0)#exit
BRI(conf)#ip default-gateway 192.168.1.1
BRI(conf)#ip dns 8.8.8.8
BRI(conf)#password abc123
BRI(conf)#hostname SDHT
BRI#configure terminal
BRI(conf)#interface gigabitethernet
BRI(conf-g)#ip address
BRi(conf-g)#exit
BRI(conf)#ip default-gateway
BRI(conf)#ip dns
BRI(conf)#password
BRI(conf)#hostname
进入配置模式,将改变命令提示符
进入物理接口模式下
配置IP地址和子网掩码
退出物理接口模式返回全局配置模式
配置操作系统的默认管理网关〔与业务网关无直接关系〕
配置操作系统的DNS(与业务网关无直接关系)
配置操作系统的密码
配置设备的名称
案例2:默认BridgeOS网桥是层2的网桥,可以穿透层2的播送包,某一运营商考虑到环路问题希望不穿透播送包做成层3的网桥,LAN口的互联IP是10.0.9.1/32 下一跳的接口的MAC是〔内网口互联对端接口〕:28:51:32:03:22:B2,WAN口的互联IP是10.1.9.1/32下一跳的接口MAC是〔外网网关的接口〕:45:67:E4:BA:04:87。
案例2的解决方案:
BRI#configure terminal
BRI(conf)#interface gigabitethernet 0/0
页码:9/45
9
BRI(conf-g0/0)#ip address 10.0.9.1 255.255.255.252
BRI(conf-g0/0)#exit
BRI(conf)#interface gigabitethernet 0/1
BRI(conf-g0/1)#ip address 10.1.9.1 255.255.255.252
BRI(conf-g0/1)#exit
BRI(conf)#interface bridge 0/0
BRI(conf-b0/0)#next-hop mac lan 28:51:32:03:22:B2
BRI(conf-b0/0)#next-hop mac wan 45:67:E4:BA:04:87
BRI(conf-b0/0)#bridge mode route
BRI(conf-b0/0)#exit
BRI(conf)#exit
BRI#write
命令语法:
BRI#configure terminal
BRI(conf)#interface bridge
BRI(conf)#next-hop mac
进入全局配置模式,将改变命令提示符
进入桥接口配置模式
配置互联接口下一跳MAC地址
BRI(conf)#bridge model
配置播送包的透传方式
页码:10/45
10
物理接口类型
RJ45是各种不同接头的一种类型〔例如:RJ11也是接头的一种类型,不过它是 上用的〕;RJ45头根据线的排序不同分为两种,一种是橙白、橙、绿白、蓝、蓝白、绿、棕白、棕;另一种是绿白、绿、橙白、蓝、蓝白、橙、棕白、棕;因此使用RJ45接头的线也有两种即:〔12345678对应12345678〕、交叉线〔12345678对应56341278〕两种。
SFP收发器有多种不同的发送和接收类型,用户可以为每个链接选择适宜的收发器,以提供基于可用的光纤类型〔如多模光纤或单模光纤〕能到达的"光学性能"。可用的光学SFP模块一般分为如下类别:850纳米波长/550米距离的 MMF (SX)、1310纳米波长/10公里距离的
SMF (LX)、1550 纳米波长/40公里距离的XD、80公里距离的ZX、120公里距离的EX或EZX,以及DWDM。SFP收发器也提供铜缆接口,使得主要为光纤通信设计的主机设备也能够通过UTP网络线缆通信。也存在波分复用〔CWDM〕以及单光纤"双向"〔1310/1490纳米波长上行/下行〕的SFP。
商用SFP收发器能够提供速率到达4.25 G bps。10 Gbps 收发器的几种封装形式为XFP,以及与SFP封装根本一致的新的变种"SFP+"。
名称 类型 说明
实际的网卡接口
以物理接口关联对应
以桥接口一一对应
Interface gigabitethernet 0/0
物理接口
Interface bridge 0/0
Interface pppoe 0/0
桥接口〔业务接口〕
PPPOE接口〔业务接口〕
物理接口的相关命令:
BRI(config-g0/0)#ip address 192.168.1.1 255.255.255.0
BRI(config-g0/0)#mtu 1800
BRI(config-g0/0)#hardware features vlan force-off
配置网卡的IP地址
配置网关的MTU值
Force-off 强制关闭硬件处理vlan
Force-on 强制翻开硬件处理vlan
Auto 自动识别,如果硬件支持那么硬件处理,如果硬件不支持那么软件处理
配置接口描述
关闭接口
BRI(config-g0/0)#description ssssssssss
BRI(config-g0/0)#shutdown
页码:11/45
11
桥链路捆绑〔桥模式〕
桥捆绑同样也是遵守桥的转发特性〔轿转发特性----从LAN收到的数据包固定往WAN转发,从WAN收到的数据包固定往LAN转发桥〕,桥的捆绑是就多个桥全并成一个虚拟的桥。
在技术方面讲是多个桥共用一个桥配置,也就是多个桥共同完成一个桥业务。在操作方面就是一个桥参加到另一个桥中去,采用参加的方式介入指定桥的业务。
交换机A
桥捆绑
交换机B
捆绑的步骤:
1、捆绑前选出其中一个桥做配置。
2、然后其它的桥里输入捆绑的命令:
BRI(config-b0/1)# bridge join 0/0
----这个命令就是桥1介入到桥0的桥业务,也就是桥1会把收到的数据包当成是桥0所收到的数据包
提示:捆绑命令只有上述一条,其原理是一个桥参加到另一个桥的流程中,即共享了session表,当一个桥参加到另一个桥之后自身桥的配置将失效包括物理接口的IP地址。其实是一个桥参加到另一个桥。
接口的VLAN特性
接口是支持VLAN数据的接收,但是不需要预先建立好VLAN号,BridgeOS接入任何VLAN并处理任何VLAN,也就是BridgeOS的接口是混杂模式,即收access类型的数据包,也接口trunck类型的数据包而且不需要建立VLAN。Intel的网卡芯片硬件上是支持VLAN处理的,但是有些芯片在处理VLAN方面会有问题,比方发送时VLAN处理失败造成数据包无法发送,多数为PCI-E的光口网卡。那么BridgeOS系统可以强制关闭硬件处理VLAN。
BRI(config-g0/0)#hardware features vlan force-off|force-on|auto
----force-off:强制关闭硬件处理VLAN,
----force-on:强制采用硬件处理VLAN,
----auto:自动识别,检查硬件是否支持硬件处理VLAN,如果支持那么采用硬件处理,如果不硬件不支持那么采用软件处理。
注:有些网卡的硬件自检的参数与实际不符,这才有强制关闭硬件处理的必要性。
页码:12/45
12
页码:13/45
13
PPPOE拔号效劳
以太网上承载PPP协议〔点到点连接协议〕,它利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每一个主机实现控制、计费功能。
与传统的接入方式相比,pppoe具有较高的性能价格比,它在包括小区组网建设等一系列应用中被广泛采用,目前流行的宽带接入方式ADSL 就使用了pppoe协议。
背景案例1:北京某一运营商开通一小区带宽ADSL接入效劳,使用BridgeOS的第一个桥做配置,下发地址池172.16.0.0-172.16.15.255 共16个C的地址,下发DNS
202.106.196.115 192.106.0.20,使用BridgeOS自带的数据做为拔号认证数据库,拔号效劳器上联路由器的网关MAC为23:88:3F:4E:67:09。
案例1的解决方案:
BRI#config terminal
BRI(conf)#interface pppoe 0/0
BRI(conf-p0/0)#ip pool 172.16.0.0 172.16.15.255
BRI(conf-p0/0)#ip dns 202.106.196.115 202.106.0.20
BRI(conf-p0/0)#ip gateway mac 23:88:3F:4E:67:09
BRI(conf-p0/0)#user db radius 172.0.0.1
BRI(conf-p0/0)#server name adsl-server 【自定义】
BRI(conf-p0/0)#pppoe service on
BRI(conf-p0/0)#pppoe session on
BRI(conf-p0/0)#exit
BRI(conf)#interface bridge 0/0 【进入桥模式,改变提示符】
BRI(conf-b0/0)#pppoe enable 【一定要enable, 否那么桥不受理PPPOE效劳】
讲解:
pppoe service on,正常情况下是要on,当值为off时,效劳被关闭,所有用户下线
pppoe session on,正常情况下是要on, 当值为off时,不受理新用户的拔号请求,但不影响在线用户不。
命令语法
BRI#config terminal
BRI(conf)#interface pppoe
BRI(conf-p)#ip pool
BRI(conf-p)#ip dns
进入配置模式,将改变提示符
进入PPPOE接口,将改变提示符
下发用户IP地址段
下发用户DNS
页码:14/45
14
BRI(conf-p)#ip gateway mac
BRI(conf-p)#server name
BRI(conf-p)#user db radius
BRI(conf-p)#user db bypass
BRI(conf-p)#pppoe service
网关接口的MAC地址
效劳名称,自定义,可忽略但不建议忽略
计费数据库Radius的IP地址
免计费模式,用任意用户密码都可以成功拔号。在数据库故障或是数据库维护时使用。
BRI(conf-p)#pppoe session
PPPOE到期提醒配置
到期提醒功能默认为不启用。启用该功能,可以对即将到期的用户给予到期提醒。到期提醒显示在用户的浏览器最上访,用户翻开主页时显示,显示内容中包括账号、到期时间、剩余时间、热线 等。运营商可以设置不同的提醒频率〔时间间隔〕。
到期提醒的设置使用策略方式。假设要启用该功能,首先在全局配置模式下配置一条到期提醒的策略。编号范围为<0, 19>,见编号范围总表fix me。命令:
BRI(config)#expire N message
BRI(config)#expire N phone
BRI(config)#expire N interval
其中,
运营商同时需要设置当剩余多少天视为即将到期,设置的位置在数据库的“down_unit(fix
me,详见附录)〞字段。该字段的单位是“天〞,当设置为0或者为NULL时,即为对该用户不提醒。否那么,当用户可用剩余天数小于该阈值时,被视为即将到期。
上面策略和数据库的字段设置完成后,需要在PPPoE接口中应用该策略,并翻开到期提醒。命令:
BRI(config-pppoe-if)#expire policy N
BRI(config-pppoe-if)#expire on
页码:15/45
15
流量控制
案例1:配置第一个桥interface bridge 0/0 (LAN g0/0 WAN g0/1),NAT内网的所有IP地址进行上网,出口的IP是125.39.156.0-125.39.156.3,网关的MAC是28:51:32:03:22:b0,4个IP平均分配800M流量每个IP跑200M, 内网LAN的互联地址是192.168.11.1/255.255.255.0,外网WAN的互联地址是10.10.11.1/255.255.255.252
BRI#configure terminal
BRI(conf)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
BRI(conf)#ip global 2 125.39.156.0 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.1 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.2 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.3 28:51:32:03:22:b0 200
BRI(conf)#nat map 1 100 2 balanced
BRI(conf)#nat group 6 map 1
BRI(conf)#interface bridge 0/0
BRI(conf-b0/0)#nat policy 6
BRI(conf-b0/0)#nat enable
BRI(conf-b0/0)#exit
BRI(conf)#interface gigabitethernet 0/0
BRI(conf-g0/0)#ip address 192.168.11.1 255.255.255.0
BRI(conf-g0/0)#exit
BRI(conf)#interfafce gigabitethernet 0/1
BRI(conf-g0/1)#ip address 10.10.11.1 255.255.255.252
BRI(conf-g0/1)#exit
案例2:配置第一个桥interface bridge 0/0 (LAN g0/0 WAN g0/1),NAT内网的所有IP地址进行上网,出口的IP是125.39.156.0-125.39.156.3,123.103.6.7-123.103.6.8(VLAN 34),网关的MAC分别是28:51:32:03:22:b0,b8:e8:56:17:6d:9c,带宽分别是800M带宽和200M。对6个地址平均分配流量。内网LAN的互联地址是192.168.11.1/255.255.255.0,外网WAN的互联地址是10.10.11.1/255.255.255.252
BRI#configure terminal
BRI(conf)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
BRI(conf)#ip global 2 125.39.156.0 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.1 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.2 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.3 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 123.103.6.7 b8:e8:56:17:6d:9c 100 34
BRI(conf)#ip global 2 123.103.6.8 b8:e8:56:17:6d:9c 100 34
页码:16/45
16
BRI(conf)#nat map 1 100 2 balanced
BRI(conf)#nat group 6 map 1
BRI(conf)#interface bridge 0/0
BRI(conf-b0/0)#nat policy 6
BRI(conf-b0/0)#nat enable
BRI(conf-b0/0)#exit
BRI(conf)#interface gigabitethernet 0/0
BRI(conf-g0/0)#ip address 192.168.11.1 255.255.255.0
BRI(conf-g0/0)#exit
BRI(conf)#interfafce gigabitethernet 0/1
BRI(conf-g0/1)#ip address 10.10.11.1 255.255.255.252
BRI(conf-g0/1)#exit
命令语法
BRI(conf)#access-list <100-199> permit
BRI(conf)#access-list <200-220>
BRI(conf)#access-list 300
BRI(conf)#access-list 301
BRI(conf)#access-list 302
BRI(conf)#access-list 303
BRI(conf)#access-list 304
BRI(conf)#access-list 305
BRI(conf)#access-list 306
BRI(conf)#access-list 307
BRI(conf)#access-list 308
BRI(conf)#access-list 309
BRI(conf)#access-list 310
BRI(conf)#access-list 311
BRI(conf)#access-list 312
<100-199> 编号100-199扩展ACL,在源IP地址信息和目的IP地址信息
<200-220> 用域名来代表ACL,通过域名学习IP地址段
<300> 冷门IP ACL,用于IP保护。
<301> 游戏的流量
<302>WEB的流量
<303>下载的流量
<304>联通地址段
<305>电信地址段
<306>教育网地址段
<307>国外地址段
<308>铁通地址段
<309>移动地址段
<310>动态图片地址段,用于IP保护
<311>
<312> GET的流量
BRI(conf)#ip global <0-20>
页码:17/45
17
带宽资源出口配置信息,用于NAT根底配置
<0-20> 自定义编号
[VLAN] 可选字段 ,vlan号,当有vlan是使用
[port] 可先字段,本机设备的端口号,多对一,或一对多的桥时使用
BRI(conf)#nat map <0-20>
<0-20> 自定义编号
BRI(conf)#nat group <0-20> map
把多条nat map 放在一个组里
<0-20>自定义编号
配置NAT
NAT的配置使用策略方式。启用NAT之前,首先在全局配置模式下配置NAT策略,然后在桥接口中应用该策略。
NAT策略包括4个局部:ip global、access-list、nat map、nat group。
访问控制列表(access-list)。
访问控制列表用来告诉哪些数据包需要接收、丢弃、NAT转换或者其他操作。访问控制列表有两种,一种为传统的基于四元组匹配〔协议、源地址、目的地址、目的端口〕的访问控制列表,编号从100-199, 另一种为高级访问控制列表,基于该数据包目的地址〔上行〕或者源地址〔下行〕所属的域,编号从200-299。域通过域名来指定,指定域名时,可以使用严格匹配和模糊匹配,严格配置时,在域名前面加上一个点‘.’。例如
abc 指定的域为所有包含abc 的域,包括但不限于 , , abc 等。
.abc 指定的域为abc 。
基于五元组的访问控制列表创立命令:
BRI(config)#access-list N permit {ip|udp|tcp|all|icmp|gre}
编号N的范围为100-199。IP地址的格式是标准点分十进制格式。
对同一个编号屡次使用该命令可以创立多条工程。一个编号最多可以创立20项。
基于域的访问控制列表创立命令:
BRI(config)#access-list N
编号N的范围为200-299。对同一个编号屡次使用该命令可以创立多条工程。一个编号最页码:18/45
18
多可以创立20项。
基于运营商访问控制列表创立命令:(未完成〕
基于动态图片访问控制列表创立命令:(未完成〕
NAT信息用来告诉对数据包做什么处理。包括三个内容:NAT地址、下一跳、带宽。同样地,同一个编号可以创立多个NAT信息,主要用于断网备份和负载均衡。
NAT地址是进行网络地址转换的IP地址。特殊地址“0.0.0.0〞代表NAT到自己,相当于没有做NAT〔但仍然经过NAT系统〕。
下一跳是该数据包下一跳的MAC地址。其中特殊地址“00:00:00:00:00:00〞代表不改变数据包的目的MAC地址,即保持原来的MAC地址不变,此种情况下,下游设备的下一跳应指为BridgeOS系统的上游设备,而非BridgeOS系统,否那么,上游设备会因为目的MAC地址非本地而丢弃该数据包。
带宽的值需要配合映射中的选项使用,意义根据映射中的选项(first或balanced〕不同而不同,用于实现负载均衡与断网备份〔具体见“映射〞与“负载均衡〞fix me〕。当映射选项是first时,其意义是最大带宽〔单位Mbps〕,代表该NAT地址的最大容量。当流量大于该阈值时,自动切换到相同编号的下一个NAT地址。中选项是balanced时,其意义是带宽比例,系统根据该值在组内按比例分配带宽〔该功能有可能导致某些带防盗链的网站访问异常〕。当编号下面只有一个NAT信息项时,映射的选项和带宽的值都被忽略。关于该值的具体使用,见“映射〞与“负载均衡〞fix me。
命令:
BRI(config)#ip global N
N的范围从0-19, 同一个编号N最多可以包含20个NAT信息项。
映射。
映射将访问控制列表与NAT信息做关联,描述了对符合该访问控制列表的数据包要做的行为。命令:
BRI(config)#nat map N
N的范围从0-19。
当ip global编号下面有多个NAT信息项时,关键字first与balanced用于使用何种方法从中选取一个,当编号下面只有一个NAT信息项时,该选项和NAT信息中的带宽字段无意义,被系统忽略。
关键字first,为优先均衡法〔此时NAT信息中的带宽意义为最大允许带宽〕,优先从第一个选取,第一个到达最大允许带宽时,选取下一个。当所有的NAT项都到达其最大允许带宽时,系统使用balanced方法。
关键字balanced,为比例均衡法〔此时NAT信息中的带宽意义为带宽比例〕,从多个NAT项中,按比例随机选择,比例大 ,选择的概率大。〔具体见“负载均衡〞fix me〕。
分组。
分组是将映射分成组,一个组完整表达了一个NAT任务的所有内容。在接口按组来应用,而不是单个映射。命令:
BRI(config)#nat group N
N的范围为0-19。一个编号最多有20个映射。
19
页码:19/45
启用NAT
桥接口启用NAT之前,需要指出NAT的策略,NAT的策略通过应用某个分组来完成。命令:
BRI(config-bri-if)#nat policy
在桥接口中应用该命令,指明接口中的NAT策略是哪个分组。
最后,需要启用NAT。命令:
BRI(config-bri-if)#nat enable
至此,NAT已经启用。需要查看NAT的运行状态,包括所对应的访问控制列表、NAT信息、流量、是否断网等,使用BRI#show interface bridge 0/N nat。N指定查看哪个接口。
多出口负载均衡
NAT的负载均衡是将流量NAT到不同的地址和出口的技术。负载均衡的方法有两种,一种为优先策略,一种是随机比例。对应映射中的关键字分别为first和balanced。
随机比例即在多个地址中随机选择NAT地址与出口。比例大的被选中的概率大,反之被选中的概率小。例如:
BRI(config)#ip global 0
BRI(config)#ip global 0
BRI(config)#ip global 0
那么出口A、B、C按比例分配带宽。假设总带宽为100M,那么出口A、B、C分别分配的带宽为
50M、33M、16M。随机比例分配带宽可能导致某些带防盗链的网站访问异常。
优先策略即优先选择靠前的NAT地址,当靠前的地址已经到达最大带宽容量时,选择下一个比拟靠前的地址。例如:
BRI(config)#ip global 0
BRI(config)#ip global 0
BRI(config)#ip global 0
当桥接口带宽小于300M时,那么始终选择出口A。
当桥接口带宽为500M时,出口A带宽300M,出口B带宽200M。
当桥接口带宽为800M时,出口A带宽300M,出口B带宽200M,出口C带宽100M。
当桥接口带宽大于800M时,超出局部按随机比例策略。
多出口的断网备份
断网备份是指当系统检测到一个出口断网时,自动将该出口从列表中剔除,选择其他可用出口,该出口恢复时,又将出口恢复到列表中。只有存在多个出口时,断网备份才有效,当ip global下只有一个NAT信息项时,始终使用该出口,不切换。
对于存在多个NAT信息项的ip global,系统定时检测每个NAT信息项出口的状态,发现某个出口断网时,那么将该出口的允许带宽或者比例带宽置为0,该出口不在NAT的范围之内。剩下的可用出口中,仍然按照映射的选项〔first或者balanced〕不同,进行优先策略负载均衡或者随机比例负载均衡。典型的断网备份的配置如下:
BRI(config)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
页码:20/45
20
BRI(config)#ip global 0
BRI(config)#ip global 0
BRI(config)#nat map 0 100 0
该配置说明,对所有的流量,都NAT到出口A。只有出口A断网时,切换到出口B。
NAT〔网络地址转换〕
视频与大文件流量引导、DNS劫持、广告功能,都依赖于NAT模块,只有启用NAT时,才可以启用该功能。如果不需要做NAT而要使用流量引导,可以使用NAT到自己的方式,即使用特殊NAT地址“0.0.0.0〞。例如以下配置即为将所有的数据都NAT到自己:
BRI(config)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
BRI(config)#ip global 0 0.0.0.0
BRI(config)#nat map 0 100 0 first
在桥接口实用该策略即可。为了方便,系统定义了一个NAT到自己的常用策略,编号为20,用户在接口中直接应用该策略即可:nat policy 20,不需要在全局模式下配置访问控制列表和映射等。
特性NAT之 ‘空NAT’
BRI(config)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
BRI(config)#ip global 0 0.0.0.0 00:00:00:00:00:00 1000
BRI(config)#nat map 0 100 0 first
BRI(config)#nat group 0 0
这只是一个空NAT的例子,空NAT就是把自己NAT到自己,也就是跟没有做NAT是一样的,所以实际上是没有做NAT,不同的是空NAT在内核里建立了session表,这个表可以给其它功能特性提供连接跟踪根底。
NAT之状态特性
在起nat时出现以下情况将表达出NAT路由穿透特性:
比方你的客户的地址是123.123.0.0/16一个B的地址,这段地址在公网上是能访问的,
但是你的客户在经过你的桥做了一个nat,把这段地址nat到了8.8.8.8,那么正常情况下公网是不能再访问123.123.0.0/16这段地址的,盈捷的网桥处理方式如下:
NAT的公网地址为8.8.8.8,而公网发过来的包目的IP是123.123.0.0/16,这时认为是反穿透,对这个包做一个穿透session记录,然后客户的主机应答时就不会nat到8.8.8.8了。
注:这个返穿透在三层的桥模式里一定要写 next-hop mac……,(请参考层二转发与层三转发)
NAT之策略特性
结合空NAT,本特性就是完全的策略路由器了
页码:21/45
21
根据联通、电信路由表做NAT
系统包括了主流路由表:
联通路由表: access-list 304
电信路由表: access-list 305
铁通路由表: access-list 308
移动路由表: access-list 309
教育网路由表: access-list 306
国外路由表: access-list 307
BRI
<100, 199> for legacy ACL
<200, 299> for advanced domain name ACL
<300, 300> Special ACL for protection traffic
<301, 301> special ACL for game traffic
<302, 302> special ACL for web traffic
<303, 303> special ACL for download traffic
<304, 304> route table of China Unicom
<305, 305> route table of China Telecom
<306, 306> route table of Enet (educational network)
<307, 307> route table of Oversea Web Site
<308, 308> route table of China Railcom
<309, 309> route table of China Mobile
关闭NAT配置自动加载
在设备日常维护过程中可能会对ACL、ip global、nat map、nat group做一些调整,在调整的过程中配置是实时生效的。有时候这种机制会带来麻烦,比方在设备所带的流量比拟大的时候而且要改的配置相比照拟多,在改动的过程中需要一定的时间,那么在改动过程中的这段时间里会对流量业务有影响。因此BridgeOS提供了关闭NAT配置自动加载的方法。
BRI
#关闭NAT配置自动加载〔这个命令在设备重起后自动失效〕
BRI
#翻开NAT配置自动加载
BRI#reload policy
#重新加载NAT策略
BRI
#在桥中应用NAT策略〔在关闭配置NAT自动加载的情况下也能实时生效〕
页码:22/45
22
ADSL绑定
案例:配置第一个桥 interface bridge 0/0 (LAN g0/0 WAN g0/1),绑定3个联通ADSL帐号用于NAT。3个帐号分别是〔用户名:s23453 密码:45678212 VLAN 34,用户名:s67234 密码:76092348 VLAN 35,用户名:s09874 密码:56092305 VLAN 36 〕
BRI#configure terminal
BRI(conf)#dial-up 0 s23453 45678212 0/1 34
BRI(conf)#dial-up 1 s67234 76092348 0/1 35
BRI(conf)#dial-up 2 s09874 s09874 0/1 36
BRI(conf)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
BRI(conf)#ip global 2 pppoe 0
BRI(conf)#ip global 2 pppoe 1
BRI(conf)#ip global 2 pppoe 2
BRI(conf)#nat map 1 100 2 balanced
BRI(conf)#nat group 6 map 1
BRI(conf)#interface bridge 0/0
BRI(conf-b0/0)#nat policy 6
BRI(conf-b0/0)#nat enable
查看绑定的帐号:
BRI#show dial-up summary
BRI#show dial-up detail
BRI#configure terminal
进入配置模式,将改变命令提示符
BRI(conf)#dial-up <0-699>
<0-699> item 自定义的编号
[vlan]进行拔号的VLAN号,参考实际的网络结构
23
页码:23/45
VPN-PPTP效劳
PPTP〔Point to Point Tunneling Protocol〕,即点对点隧道协议。该协议是在PPP协议的根底上开发的一种新的增强型平安协议,支持多协议虚拟专用网〔VPN〕,可以通过密码验证协议〔PAP〕、可扩展认证协议〔EAP〕等方法增强平安性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络平安地访问企业网。
案例1:建立VPN效劳
BRI#configre terminal
BRI(conf)#enable
BRI(conf)#service pptp
BRI(conf)#ip pool 10.10.11.0 10.10.11.255
BRI(conf)#ip dns 8.8.8.8 114.114.114.114
BRI(conf)#ip local 192.168.1.99
页码:24/45
24
BRI(conf)#user db radius 127.0.0.1
BRI(conf)#exit
BRI#configre terminal
BRI(conf)#service pptp
BRI(conf-pptp)#enable
进入配置模式,将改变命令提示符
进入PPTP配置模式,将改变命令提示符
翻开VPN功能
BRI(conf-pptp)#ip pool
VPN可分配的IP地址段
BRI(conf-pptp)#ip dns
VPN下发的DNS
本地VPN效劳的IP地址
BRI(conf-pptp)#ip local
BRI(conf-pptp)#user db radius
页码:25/45
25
广告推送
广告投放功提供了一个广告投放的平台,当启用了PPPoE时,管理者也可用于实现自己的用户提醒。广告投放的页面显示在用户的浏览器右下角,当用户点击某个主页时投放。
广告投放的配置使用策略方式。首先在全局配置模式下,创立策略,命令:
BRI(config)#advertisement N url
BRI(config)#advertisement N interval
N的范围为0-19。
然后在接口模式中应用该策略,命令:
BRI(config-bri-if)#advertisement policy
最后启用广告投放功能,命令:
BRI(config-bri-if)#advertisement enable
本功能需要启用NAT。
页码:26/45
26
特殊行业公网IP地址保护/隐藏的原理和方法
两种方法分别基于两种原理
一种是基于查找替换的方法,另一种是是冷门网站的识别方法
是基于 页面内容的查找和替换
本方式采用内核网络子系统IP数据包转发过程中基于包转发的字符串查找技术,因此一些基于图片方式显示IP或是一些加密的方式不能通过此种方式处理,另外由于本功能是根据应答数据流中的目的IP做为查找对象,所以要公网IP才能起作用,NAT的下联部署不会成功,只能部署在NAT的上联或是在本设备中启用NAT,也就是说通过流量的IP必需是公网IP。
BRI(config)#interface bridge 0/3 //进入接口桥0/3〔举例在桥3起用字符串IP替换〕
BRI(config-bri-if)#ip replace 11.22.33.44 11.22.33.45 //输入要显示的IP地址段
提示:这种方法自动识别你的公网IP地址然后进行页面的查找替换,ip replace 后面跟着的两个地址是替换地址段(要显示在页面上的地址)的开始和结束,替换时随机选其中一个,这种方法不是所有的网页都能替换,因为一些网站对显示的IP做了加密的保护
基于冷门的策略
分析:专业查看公网IP的从业人员不会通过常规的方法去探测公网IP的,他们会建立自己的公网探测效劳器,往往这种探测的效劳器的访问量会很底,此种方法的nat就是根据底访问量的目的ip做条件的nat。这种方法的缺点是需要一个平安的网络出口〔可以是ADSL的拔号出口做为平安出口,把底访问量的IP 做nat到adsl上去〕
冷门的阀值设置方法
BRI(config)#access-list 300 20 60
#其中的access-list 300是固定的冷门ACL不可以自行定义只能是300,也就是说内核对冷门的识别阀值只从ACL 300中读取,其中20是指时间秒数可以自己定义,60是指前面设定的时间里通过的桥的数据包的个数。
页码:27/45
27
这样就生成了冷门的阀值,生成后就可以当在NAT配置中调用这个ACL 300,调用方法跟普通的ACL没有区别
页码:28/45
28
TTL跳数相关
TTL是IP数据包为了解决网络环路而设置特有的字段值,IP数据包数据每经过一个路由器就会减一,WIN系统和Lunux系统初始化IP数据包对TTL字段的默认值都不一样。BridgeOS设备不是路由器也不是交换机,是一个可以是层三的桥,也可以是层二的桥,当BridgeOS配置成层三时经过的IP数据包同样会减去1,但配置成层二模式时不会对TTL进行减一操作,除非使用ttl命令配置
BRI#config terminal
BRI(conf)#interface bridge 0/
进入配置模式,将改变提示符
进入桥接口。设备共有4种接口,分别是物理接口〔interface〕,桥接口〔interface
bridge〕,pppoe拔号接口〔inerface
pppoe〕,虚拟接口〔interface vir〕。
BRI(config-bridge)ttl
背景案例
案例1:为了防止路由器环路,网络IP数据包每经过一个路由都会对TTL值减去1,TTL值为0时路由器就会丢掉这个数据包。北京某一运营商内部网络路由级联比拟多,出网关后TTL值比拟小很多远方的国外网站因为经过路由器太多TTL开销大,没到国外网关TTL就减到了0而被路由器丢掉,此运营商想解决这个问题,希望出网的数据包ttl加上20,网关配置在interface bridge 0/0。
案例2:某一商业局域网希望只允许内部计算机访问8跳路由之内的主机,8跳之外的主机禁止访问,网关配置在interface bridge 0/0。
页码:29/45
29
案例1的解决方案
BRI#config terminal
BRI(conf)#interface bridge 0/0
BRI(conf)#ttl out increase 20
案例2的解决方案
BRI#config terminal
BRI(conf)#interface bridge 0/0
BRI(conf)#ttl fixed 8
页码:30/45
30
P2P相关
P2P上传差量限制
在一些带宽上传紧张的应用场合中可以启用本功能可以限制P2P的上传,本功能采用阻断的方法限制P2P上传。限制方法为:计算上下行流量的差额,根据设置的阀值进行阻断连接
命令语法:BRI(config-b0/0)#p2p upload limit <0, 102400>
举例:BRI(config-b0/0)#p2p limit upload 10
上命令在桥0上实现,命令实时生效,上例的10是的单位是〔kByte),即在p2p中通过过程中如果上行流量比下行流量多10K就阻断连接,这个对上行不够的出口中表示良好。
P2P下载差量限制
在一些带宽紧张的应用场合中可以启用本功能可以限制P2P的下载,本功能采用阻断的方法限制P2P上传。限制方法为:计算上下行流量的差额,根据设置的阀值进行阻断连接
命令语法:BRI(config-b0/0)#p2p upload limit <0, 102400>
举例:BRI(config-b0/0)#p2p limit download 1024
上命令在桥0上实现,命令实时生效,上例的1024是的单位是〔kByte),即在p2p中通过过程中如果下行流量比上行流量多1024K就阻断连接,这个功能只是一定程序上减少P2P连接
页码:31/45
31
P2P握手〔打洞〕的限制
命令语法:BRI(config-b0/0)#p2p upload limit <0, 102400>
举例:BRI(config-b0/0)#p2p limit punch 1
上命令在桥0上实现,命令实时生效,上例的1是的单位是〔数据包的个数),即在UDP通信中如果只能一个请求一个应答,否那么就阻断连接,这样就阻断了正向P2P握手,由于P2P握手是比拟复杂,本功能只是提供一种机制,在实际应用中并不能完全阻断所有的P2P握手
页码:32/45
32
在WEB 中嵌入Javascript
可以通过配置在所有的网页中嵌入Javascript,这个用于广告或缓存技术的拓展,或是其它的用途。因为这种技术用途比拟广所以不做用途的一一介绍。
嵌入命令:
BRI(config-b0/0)#ip service-center 125.39.8.80
后面的IP地址为javascript存放的效劳的IP地址,如果你的设备ID为1234567,那么每个网页会嵌入一个这样的javascript.
Src = ://125.39.8.80/
其中IP地址为是可以为任何WEB效劳器,只要效劳器中存在这个js.如果效劳器不存在js也一样会嵌入,只是用户无法下载js而已。
页码:33/45
33
DNS缓存加速
代码级别:内核
功能依赖:无
运行方式:桥模式、分光镜像〔抢先应答〕
DNS〔Domain Name System,域名系统〕,因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接>读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析〔或主机名解析〕。DNS协议运行在UDP协议之上,使用端口号53。
BridgeOS的DNS不同与Linux 的DNS效劳bind进程,以下表用nslookup查看DNS解释结果。
Linux bind进程
DNS应答:
开始菜单-运行-CMD:
nslookup baidu
cmd>nslookup baidu
Server: 202.106.196.115
Address: 202.106.196.115#53
Non-authoritative answer:
baidu canonical name = .
Name:
Address: 61.135.169.125
Name:
Address: 61.135.169.105
cmd>
BridgeOS DNS-Cache
DNS应答:
开始菜单-运行-CMD:
nslookup baidu
cmd>nslookup baidu
Server: 202.106.196.115
Address: 202.106.196.115#53
Non-authoritative answer:
Name: baidu
Address: 61.135.169.105
cmd>
(注:Linux有递归过程)
(注:BridgeOS无递归过程)
背景举例
案例1、北京某一运营商希望建立自己的DNS, 更新主DNS为202.106.196.115,辅DNS为202.196.0.20,公网的DNS对单IP有连接限制200次每秒,要求1:DNS条目在内存中存活7天〔即 604800秒〕才老化(TTL),更新失败超时3秒,要求2:只存储 的域名和 .net 域名,其它域名不缓存。
案例2、山西某一运营商希望建立自己的DNS, 更新主DNS为202.106.196.115,辅DNS为202.196.0.20,添加静态DNS条目为:192.168.1.9 abc123 ,并将*.qq 转发页码:34/45
34
到移动的DNS 114.114.114.114
案例3、温州移动希望以抢先应答的方式静态指定 2345 , icbc 到CDN效劳器1.1.1.1和2.2.2.2,应答接口g 0/0 ,下一跳MAC为45:23:3C:F3:4E:67
案例1的解决方案
BRI#config terminal
BRI(conf)#service dns
BRI(conf-proxy)#enable
BRI(conf-proxy)#update dns-server 202.106.196.115 202.106.0.20
BRI(conf-proxy)#update interval 5
BRI(conf-proxy)#update timeout 3000
BRI(conf-proxy)#alive 604800
BRI(conf-proxy)#cache
BRI(conf-proxy)#cache .net
案例2的解决方案
BRI#config terminal
BRI(conf)#service dns
BRI(conf-dns)#enable
BRI(conf-dns)#update dns-server 202.106.196.115 202.106.0.20
BRI(conf-dns)#cache .
BRI(conf-dns)#static 123abc 192.168.1.9
BRI(conf-dns)#forward .qq 114.114.114.114
案例3的解决方案
BRI#config terminal
BRI(conf)#service dns
BRI(conf-dns)#enable
BRI(conf-dns)#static 2345 1.1.1.1
BRI(conf-dns)#static icbc 2.2.2.2
BRI(conf-dns)#transmit gigabitethernet 0/0 45:23:3C:F3:4E:67
语法表
BRI#config terminal
BRI(conf)#service dns
BRI(conf-dns)#enable
BRI(conf-dns)#update dns-server
BRI(conf-dns)#update interval
BRI(conf-dns)#update timeout
BRI(conf-dns)#alive
BRI(conf-dns)#log
进入配置模式,将改变提示符
进入DNS配置模式,将改变提示符
起用DNS功能
配置DNS更新地址
两个更新请求之间的时间间隔〔毫秒〕
更新超时〔毫秒〕
DNS条目的老化时间,即DNS的TTL值
DNS远程日志,调试分析/数据挖掘用
页码:35/45
35
BRI(conf-dns)#cache
cache 表示缓存*
cache .net 表示缓存*
cache baidu 表示缓存*baidu*
cache . 表示缓存所有域名
cache ^ baidu 表示只缓存 baidu 这一个域名
BRI(conf-dns)#forward
将域名递归到dns1,dns2效劳器
BRI(conf-dns)#transmit gigabitethernet
在分光镜像的网络模型中翻开抢先应答的方式起用DNS
[vlan] 可选,VLAN号
BRI(conf-dns)#exit
退出DNS配置模式,将改变提示符
排错命令
BRI#show running-config global
BRI#show running-config dns
BRI#show service dns
BRI#show service dns update
BRI#show service dns hit
查看全局配置
查看DNS配置〔r3.0以上版本〕
查看DNS运行所有全局数据
查看DNS更新日志,更新成功或失败的记录,和更新所用时间。(r.3.0以上版本)
查看DNS缓存命中日志。(r.3.0以上版本)
页码:36/45
36
WEB缓存
代码级别:内核、无IO设计
功能依赖:NAT + 内存/ 磁盘
运行模式:桥模式、主机模式
背景小知识:网页、图片、JS/CSS这类的 文件单个文件比拟小,有超高的访问量,保存在硬盘中会出现磁盘IO问题。根本解决磁盘IO问题就是采用无IO的设计。BridgeOS的小文件不采用磁盘做为小文件存储媒介。
设计理论根据:
1、小文件下载更新数据速度快,一般在秒级别就可以下载一个网页或图片,一个网页或是图片更新一次所花费的时间本钱和带宽本钱都很底。
2、以4个小时为参考单位,一个图片或网页在4个小时之内访问了2次或是屡次,BridgeOS认为是有必要缓存命中的。4个小时只访问了一次或是0次,这个文件认为可以老化。目的是缓存热门的文件,不缓存冷门的文件。
3、文件最少在内存中存活4个小时,缓存文件在内存中以链表的形式进行存储,当一个文件被访问时会把这个文件从链表中移动到链表的头部,链表中排队的文件往后移。当一个新文件更新到缓存时是从链表的底部获取空间并移动链表的头部。链表的头部所存储的文件并不是最热门的文件,但链表底部的文件一定是冷门的文件。假设文件从头部一移到底部一共经历了4个小时BridgeOS认为这个链表的内存空间分配合理,否那么考虑加内存到达一个文件最少在内存中存活4个小时。
4、文件在内存中存活不了4个小时,可以考虑用多台设备组成一个数据中心,进行分布式缓存。BridgeOS的数据分析平台可以获得域名的访问排名,把热闹的域名别离出来单独放在一台设备以提高缓存的命中率。
5、小文件缓存在分布式部署上可以用BridgeOS的DNS效劳和主机代理共同完成分布式部署。
BRI#config terminal
BRI(conf)#service web
BRI(conf-web)#enable
进入配置模式,将改变提示符
进入WEB缓存配置模式,将改变提示符
起用WEB缓存功能
BRI(conf-web)#rule normal
<0-8> 0是指不缓存,1是指直接应答一个空文件,2是指直接应答404文件不存在,3.。。
BRI(conf-web)#rule normal
页码:37/45
37
BRI(conf-web)#rule refer
<0-8> 0是指不缓存,1是指直接应答一个空文件,2是指直接应答404文件不存在,3.。。
BRI(conf-web)#rule refer
背影案例
案例1:广州某一带宽运营商为了提图片的翻开速度并节省带宽出口,想缓存所有的图片文件。
案例2:广州某域名网禁止员工看电影,把所有的 .mp4、.flv 视频替换成公司的宣传广告4
案例1的解决方案
BRI#config terminal
BRI(conf)#service web
BRI(conf-web)#enable
BRI(conf-web)#cache . .jpg level 6
案例2的解决方案
BRI#config terminal
BRI(conf)#service web
BRI(conf-web)#enable
BRI(conf-web)#cache . .mp4 file
4
BRI(conf-web)#cache . .flv file 4
BridgeOS可以针对特定域名静态指向的方法进行部署缓存,在一些热门的下载域名可以参考下面案例部署。
案例3:北京某一运营商想把BridgeOS设备做成一台CDN缓存镜像主机,镜像腾讯的软件下载效劳器 、 ,BridgeOS的管理地址是192.168.1.8
页码:38/45
38
案例3的解决方案
1、BridgeOS设备不需要配置缓存的相关操作,所需要相关的磁盘空间和目录结构在出厂时就初始化完毕,缓存的子目录是动态生成,只需将
和 静态解释到192.168.1.9〔DNS的配置请参考DNS相关章节〕。
2、BridgeOS默认开启了磁盘缓存模式并翻开TCP80做为请求监听
3、单机测试方法:修改C:windowssystem32driveretchosts〔Linux
/etc/hosts〕 ,添加2行:
192.168.1.9
192.168.1.9
4、BridgeOS不会自动删除文件,在部署过程中联系厂家的技术效劳部解决些类相关问题。
BridgeOS还支持URL重写的方式缓存大文件,这种方式为数据中心重定向时使用,大多数视频效劳器是没有域名的,所以不能用域名的方式进行DNS指定,所以这种方式可以在调度上做文章,进行重写URL。YOUKU的视频调度是 , 奇易的视频调度是 , 乐视的视频调度是 / 。
管理地址以192.168.1.9为例进行说明:
BridgeOS从TCP 192.168.1.9:80监听到原始URL:
://192.168.1.9/cache-bri/123.456.1.1/down/
URL重写后为:
://123.456.1.1/down/
BridgeOS将会从 ://123.456.1.1/down/ 同步这个文件
部署前提要进行URL重定向,在原始URL中参加缓存的IP和cache-bri目录
以下是BridgeOS内部的重写机制以供参考:
e = ( "^/cache-bri/(.*)" => "/curl/?url= ://$1" )
$ ["host"] =~ "^[a-z](.*)" {
e = ( "^/(.*)" => "/curl/?url= ://%0/$1" )
}
调试接口: ://<管理IP>/curl/
调试接口用于测试缓存〔接口方式不经过e〕
192.168.1.9是bridgeOS的接口地址,/cache-bri/是BridgeOS进行URL重写的标识关键字,只要TCP80监听到的URL中第一个目录是/cache-bri/,BridgeOS那么重写URL剥去/cache-bri/关键字。重写URL在很多大型组网中都会用到,在网管技术不高或是网络模型比拟单一的情况下不适用。大型网络中对门户视频网站的调度效劳进行
代理的方式重写调度报文经常使用这种方法把视频缓存在网内的数据中心。
考虑到视频文件和CDN主时机在不同的效劳器上保存同一份文件,BridgeOS的硬盘缓存会重写以数字带头的主机名,将文件夹重写成一个固定的目录 static_ip , 一个视频文件,可以以多份的形式保存在上海,北海,广州。例: ://61.135.169.105/video/,以static_ip/目录下,页码:39/45
39
而 :// baidu /video/会保存在 baidu /video/目录下,区别在于主机以数据带头和字母带头对目录的分配采用有区别的方式。
实际目录动态生成情况请参考【磁盘】: ://<管理IP>/bridgeos/
页码:40/45
40
主机代理
代码级别:内核,运营商级别的代理
功能依赖:NAT
运行方式:桥、主机模式
何为主机代理, 在互联网技术应用中有各种各样的互联网代理技术,如网页代理,ssh代理, ftp代理等,这些都是基于互联网的某些特定应用的代理技术或软件,BridgeOS所提出的主机代理并非上述所提出的针对某些互联网的特定应用的代理,而是某一台主机的所有互联网应用代理,在技术层面上本质是用一个内部的一个IP代理公网上的一台效劳器主机,例如用局域网的192.168.1.8代理公网上的谷歌DNS 8.8.8.8, 当然目标主机不仅限于DNS,任何基于IP协议通信的主机都可以。主机代理是BrigeOS内核代码的一局部,是BridgeOS操作系统的一个功能,并非是一个独立的应用软件。
一台拥有完整商业授权BridgeOS可以仍有成千上万个主机代理,主机代理中的一个代理实质是一个特殊的NAT Session存在,因此在转发效率上与NAT等同,基技术本质是一个一对一的NAT。
下面以背景举例逐层深入讲解主机代理的运用操作
1、主机代理之“静态主机代理〞
静态主机代理是手动添加条目的代理方式,是代理中是根本最简单的一种代理方式
背景举例
案例1.1、某一互联网运营商ISP有多个互联网出口———联通、电信、铁通,联通电信是正常的专线出口,铁通是网内对等互联,其中铁通拥有免费的YOUKU CDN镜像点。现运营商希望用户访问铁通的YOUKU CDN镜像点而不走联通电信昂贵的专线出口。
案例1.2、山西某一运营商〔ISP〕没有自己的DNS效劳器,考虑到公网DNS不稳定运营商不希望直接下发公网的DNS给终端用户,希望网内的某一IP代表公网的DNS,到达公网DNS故障时可以随时换公网的DNS。
案例1.1的解决方案
YOUKU的CDN调度域名是 ,只要把 从铁通的出口出去,终端用户的YOUKU视频就会从铁通的CDN镜像是访问。〔BridgeOS包涵DNS效劳功能,内核级别〕
BRI#config terminal
BRI(conf)#service host-proxy
BRI(conf-proxy)#proxy destince 192.168.1.8
案例1.2的解决方案
BRI#config terminal
BRI(conf)#service host-proxy
BRI(conf-proxy)#proxy static qq dns-server
BRI(conf-proxy)#
页码:41/45
41
2、主机代理之“落地代理〞
满地代理主机解决跨网传输的网优问题
2.1、背景举例:北京某一互联网运营商ISP拥有多个出口,北京当地出口3G,天津联通出口1G(125.39.155.0/24)。此运营商当前使用北京联通DNS,当使用天津出口时发现这样一个情况,用户访问网页会经过天津再到北京IDC,北京联通与天津联通之间网间受限,网页慢。天津联通有CDN加速IDC机房。由于大网不能改变DNS,此运营商希望大网保存北京联通的DNS,但使用天津出口时优先访问天津CDN加速IDC。
2.2、背景举例:某一运营商向外提供商业VPN效劳,VPN出口使用北京电信出口218.240.0.0/24,用户从全国各地VPN过来,而且用户有自己的DNS。此运营商希望减少跨网传输但又不能改变用户的DNS.
案例2.1的解决方案
BRI#config terminal
BRI(conf)#service host-proxy
BRI(conf-proxy)#
案例2.2的解决方案
BRI#config terminal
BRI(conf)#service host-proxy
BRI(conf-proxy)#proxy static qq dns-server
BRI(conf-proxy)#
3、主机代理之“域名代理〞
3.1、北京某一互联网运营商有多个出口,移动内网1G〔BGP对等互联〕,联通专线出口1G,运营商希望*.qq 、*.sina 走移动内网1G,其它默认走联通1G。移动的内网DNS是
3.2、北京某一互联网运营商有多个出口,铁通内网1G〔BGP对待互联〕,联通专线出口1G,运营商希望奇易视频和乐视视频走铁通内网1G,其它默认走联通1G。移动的内网DNS是
页码:42/45
42
ISP选择分路器
背影案例:北京某一开发商在楼盘开发里已完成弱电以太网综合布线,现希望引进多家小区带宽运营进行共同运营,运营中共享以太网综合布线。
分配电信的前缀是〞tel.〞,联通是〞cnc.〞,某一二级运营商为“sdht.〞
解决方案:
BRI#configure terminal
BRI(conf)#service isp-choice
BRI(conf-isp-choice)#enable
BRI(conf-isp-choice)#pppoe prefix tel. gigabitethernet 0/2
BRI(conf-isp-choice)#pppoe prefix cnc. gigabitethernet 0/3
BRI(conf-isp-choice)#pppoe prefix sdht. gigabitethernet 0/4
service isp-choice
enable
pppoe prefix
pppoe prefix
BRI#configure terminal
BRI(conf)#service isp-choice
BRI(conf-isp-choice)#enable
进入配置模式,将改变命令提示符
进入ISP分路器配置模式,将改变命令提示符
翻开功能
BRI(conf-isp-choice)#pppoe prefix
[remove-prefix] 前缀剥离
命令可以命令多条
[remove]可先字段,表示在PPPOE号进行前缀剥离。
联通的帐号可以是123456,电信的ADSL也可以是123456,用户可以用cnc.123456和tel.123456进行区别,在isp-choice效劳进行帐号剥离
案例2:某一运营商有多个出口,游戏出口,正常出口,用户在拔号时可以自由选择出口。
service isp-choice
enable
页码:43/45
43
pppoe prefix game. gigabitethernet 0/2 remove-prefix
pppoe frefix normal. gigabitethernet 0/3 remove-prefix
页码:44/45
44
常规升级
步骤:下载IOS、指定系统IOS的版本、重加载IOS
1、下载IOS
两种方法下载IOS分别是下载最新版和下载指定版本
方法1:
BRI#system download version newest #下载最新版
方法2:
BRI#system download 2 1009 #下载指定版本
2. 指定系统IOS的版 BRI#system version 2 1009 #指定系统IOS版本号
3. 重加载IOS
两种方法加载IOS,分别是重起设备另一种是用命令热加载
热加载的命令:
BRI#system apply version #应用指定的版本号
页码:45/45
45
本
2024年2月28日发(作者:止江雪)
BridgeOS操作系统技术宝典
开发单位:北京盈捷万通网络智能设备
公司地址:北京昌平区超前路37号6号楼A单元A1603室
:
技术支持:
进入BridgeOS操作系统
BridgeOS是一个操作系统〔Bridge Operating System〕。21世纪初 bri-os 开发研制的互联网业务化软硬件产品。主要用于ISP〔互联网接入提供商Internet Service
Provider〕的接入业务平台和技术实现平台,由X86硬件计算构架和自主研发的bridge操作系统相结合的软硬件于一体的商业化产品。区别于交换机、路由器的网桥操作系统。交换机根据MAC地址进行转发,路由器根据IP地址进行转发,网桥根据端口进行转发,默认情况下BridgeOS是一对一模式的网桥设备〔一台设备有多个桥〕,可以自由配置成一对多或是多对一的网桥。支持常用的WEB、Telnet、console等管理方式。BridgeOS需要授权获得License后才能正常工作。
功能简表:
2
3
4
5
6
7
8
9
1流量管理
TTL跳数管理 / P2P上行流量管控 / IMCP管控
PPPOE计费系统到期提醒 / 内外网分开限速 / 网监 / 业务OA平台PPTP Client / PPTV Server / VPN-PPTP计费系统NAT
根据联通电信地址段做NAT / 根据冷门阀值做NAT / 根据应用层特性做NATIP替换 / 图片显IP(动态图片) / 探测数据包识别(冷门) /
上行流量管控 / 修改MSS / 3元组流量均衡IP保护ADSL捆绑
DNS缓存加速网页加速缓存 / 静态 / 递归 / 转发 / 域名不存在应答指定IP小文件 / 内存存储 / 无IO / 桥接模式
视频下载缓存WEB认证大文件 / 硬盘存储 / 有IO / 重定向方式
11
12
13
14
15
10
udp代理 / tcp代理 / 代理 / dns代理 / 游戏代理多出口断网识别 / 自动切换出口 / 流量均衡
断网保护
广告业务
主机代理企业专线接入管理流量分流
JS嵌入 / URL替换 / 广告ID替换 / 抢先应答
到期自动断网 / 自动识别下层VLAN漫游
p2p流量 / 游戏流量 / 网页流量 / 下载流量 / 视频流量 / 调度流量页码:1/45
1
17
16
数据分析
网监日志QQ / Weibo / Mail / 带登陆注册类的所有敏感信息在数据挖掘和缓存部署中配合使用的辅助技术
参数
NAT并发数
用户数〔软件没有限制〕
策略路由
负载均衡
网监
千兆
默认 1572864
大约 45000
支持
支持
3个月
万兆
默认 6291456
大约 3万
支持
支持
3个月
桥接口名称/物理接口对应关系:
interface
桥
类型
物理接口
说明
interface bridge 0/0
LAN
g 0/0
WAN
g 0/1
interface bridge 0/1
LAN
g 0/2
WAN
g 0/3
interface bridge 0/2
LAN
g 0/4
WAN
g 0/5
interface bridge 0/3
LAN
g 0/6
WAN
g 0/7
g = gigabitethernet,LAN=内网,WAN=外网
PPPOE效劳名称/PPPOE接口名称
interface
PPPOE
效劳名
桥
类型
物理接口
说明
interface pppoe 0/0
interface bridge 0/0
LAN
g 0/0
WAN
g 0/1
interface pppoe 0/1
interface bridge 0/1
LAN
g 0/2
WAN
g 0/3
interface pppoe 0/2
interface bridge 0/2
LAN
g 0/4
WAN
g 0/5
interface pppoe 0/3
interface bridge 0/3
LAN
g 0/6
WAN
g 0/7
g = gigabitethernet,LAN=内网,WAN=外网
以下是BridgeOS的参考型号
型号
桥
PPPOE
效劳名称
interface bridge 0/0
interface pppoe 0/0
D252-6E500G-4G
interface bridge 0/1
interface pppoe 0/1
interface bridge 0/2
interface pppoe 0/2
页码:2/45
2
组网类型
物理接口名称
默认IP
速率
LAN
g 0/0
无
千兆
WAN
g 0/1
10.0.1.99
千兆
LAN
g 0/2
无
千兆
WAN
g 0/3
无
千兆
LAN
g 0/4
无
千兆
WAN
g 0/5
无
千兆
实际转发
接口类型
RJ45(电口)
RJ45(电口)
共享2Gbps
RJ45(电口)
RJ45(电口)
RJ45(电口)
RJ45(电口)
说明
g = gigabitethernet,LAN=内网,WAN=外网
最大7000个同时在线用户,网监日志保存3个月
管理方式:console / telnet / WEB
://192.168.1.99/
型号
桥
PPPOE
效劳名称
组网类型
物理接口名称
默认IP
速率
接口类型
interface bridge 0/0
interface pppoe 0/0
LAN
g 0/0
无
千兆
RJ45
电口
WAN
g 0/1
10.0.1.99
千兆
RJ45
电口
E3v21230-2E6F1T-8G
interface bridge 0/1
interface pppoe 0/1
LAN
g 0/2
无
千兆
SFP
光口
WAN
g 0/3
无
千兆
SFP
光口
interface bridge 0/2
interface pppoe 0/2
LAN
g 0/4
无
千兆
SFP
光口
WAN
g 0/5
无
千兆
SFP
光口
interface bridge 0/3
interface pppoe 0/3
LAN
g 0/6
无
千兆
SFP
光口
WAN
g 0/7
无
千兆
SFP
光口
说明
g = gigabitethernet,LAN=内网,WAN=外网
最大14000个同时在线用户,网监日志保存3个月
管理方式:console / telnet / WEB
://192.168.1.99/
型号
桥
PPPOE效劳名称
组网类型
物理接口名称
速率
E3v21230-2E2W1T-8G〔万兆〕
interface bridge 0/0
interface pppoe 0/0
LAN
g 0/0
千兆
WAN
g 0/1
千兆
interface bridge 0/1
interface pppoe 0/1
LAN
g 0/2
万兆
WAN
g 0/3
万兆
实际带宽
接口类型
RJ45
电口
RJ45
电口
共享8Gbps
SFP+
光口
SFP+
光口
页码:3/45
3
g = gigabitethernet,LAN=内网,WAN=外网
最大38500个同时在线用户,网监日志保存3个月
管理方式:console / telnet / WEB
://192.168.1.99/
说明
BridgeOS系统以接口形式对系统进行管理,一共包括3种接口类型:物理接口、桥接口和PPPoE接口。根据不同接口类型,每种接口的个数不同。其中,物理接口有8个,对应着8个千兆以太网物理接口,桥接口有4个,对应着4个网桥,PPPoE接口可有4个,对应着4个PPPoE效劳的配置。如下表。
网桥的默认VLAN特性:VLAN穿透
LAN/WAN方向的数据包保持原VLAN不变,对VLAN直接穿透。
原始
VLAN2
原始
VLAN2
原始
VLAN3
保护不变
VLAN2
保持不变
VLAN3
保持不变
VLAN4
SFP部署过程过中VLAN的穿透要关闭SFP的对VLAN的处理
方法如下:hardware features vlan force-off
BRI#configure terminal
BRI(conf)#interface gigabitethernet 0/0
BRI(conf)#hardware features vlan force-off
BRI(conf)#exit
注:只有SPF才需要关闭vlan features
命令语法:
BRI#configure terminal 进入配置模式,将改变命令提示符
BRI(conf)#interface gigabitethernet
进入接口配置模式,将改变命令提示符
BRI(conf)#hardware features vlan
为了便于阅读,BridgeOS操作系统采用配置模式对设备上的配置进行分类管理。默认在根模式下,根模式不能添加修改配置,只能查看调试设备。
模式
根模式
全局配置模式
物理接口配置模式
页码:4/45
提示符
BRI#
BRI(conf)#
BRI(conf-g)#
进入方法
默认
BRI(conf)#configure terminal
BRI(conf)#interface gigabitethernet
4
桥配置模式
PPPOE效劳配置模式
DNS效劳配置模式
Cache缓存加速配置模式
主机代理配置模式
VPN-PPTP配置模式
代理配置模式
专线虚拟接口配置模式
BRI(conf-b)#
BRI(conf-p)#
BRI(conf-dns)#
BRI(conf)#interface bridge
BRI(conf)#interface pppoe
BRI(conf)#service dns
BRI(conf-web-cache)#
BRI(conf)#service web-cache
BRI(conf-host-proxy)#
BRI(conf)#service host-proxy
BRI(conf-pptp)#
BRI(conf- -proxy)#
BRI(conf-v)#
BRI(conf)#service pptp
BRI(conf)#service -proxy
BRI(conf)#interface virtualethernet
页码:5/45
5
BridgeOS系统根本操作
根本命令:
do命令
在任意模式下,命令前缀加do可以将当前模式临时改为根模式。
如:BRI(conf)#do write 相当于BRI#write
删除配置的命令
从根模式进入配置模式,所有配置操作都要在配置模式下操作,根模式仅能查看配置或保存配置。命令将改变命令提示符
查看当前配置
保存当前内存配置到硬盘。当BridgeOS的配置被修改时,配置只是在内存中生效,设备重起后因为内存断电面丧失,要希望设备重起后配置有效需将内存中的配置保存在硬盘中。本命令就是从内存中的配置保存在硬盘中。
退出当前模式,返回上一级模式
如 BRI(conf)#exit 返回到 BRI#
配置操作系统的名称
配置操作系统的密码
检查网络是否连通,可以很好地帮助我们分析和判定网络故障;不写
修改BridgeOS的系统时间,当设备有网监功能时要检查系统时间是否正常。
查看ARP表
查看BridgeOS操作系统的版本信息
version 是版本号
time 是系统当明时间
uptime是系统能电时长
dev id 是系统的序列号,每一台BridgeOS设备都有一个唯一的devid
查看操作系统授权
version 授权版本号
permission 授权刷新时间戳
last 刷新授权的随机数
6
no命令
BRI#configure terminal
BRI(conf)#
BRI#show running-config
BRI#write
BRI(conf)#exit
BRI(conf-b)#exit
BRI(conf)#hostname
BRI(conf)#password
BRI#ping
BRI#clock
BRI#show arp
BRI#show version
BRI#show license
页码:6/45
BRI#telnet
BRI#reload system
BRI#reload policy
从本机telnet到另一台支持telnet的设备
重起设备
重新加载NAT配置
背景案例1:查看所有配置
IPV6#show running-config
OK
configure terminal
hostname IPV6
interface gigabitethernet 0/0
ip address 103.242.203.82 255.255.255.252 secondary
ip address 4.42.2.2 255.255.255.0 secondary
hardware features vlan force-off
proxy arp 2.3.4.3 33:33:33:33:33:33
!
interface gigabitethernet 0/1
ip address 192.168.1.99 255.255.255.0
ip address 5.5.5.5 255.255.255.0 secondary
hardware features vlan auto
!
interface gigabitethernet 0/2
ip address 10.0.3.134 255.255.255.252
hardware features vlan force-off
proxy arp 1.1.1.1 88:88:88:88:88:88
!
interface gigabitethernet 0/3
--more--
案例2:查看接口interface gigabitethernet 0/0
BRI#show interface gigabitethernet 0/0
GigabitEthernet 0/0 is UP (interface RFC2863 OPER_UP)
103.242.203.82 netmask: 255.255.255.252
MTU 1500 bytes, HWaddress is 28:51:32:03:22:B0
Speed 1000Mb/s
Duplex Full
Port type is FIBRE
Auto-negotiation: on
Link connected: Yes
Supports auto-negotiation: Yes
Advertised auto-negotiation: Yes
traffic and error:
RX: err 0 drop 0 overrun 0 farme 0
TX: err 0 drop 0 overrun 0 carrier 0
RX 0 Mbps 7 pps T: 5366 Mb, 3669294 pkt
TX 0 Mbps 3 pps T: 8151 Mb, 3263680 pkt
BRI#
案例3:查看版本信息和授权信息
页码:7/45
7
IPV6#show version
YJWT system
version 2.r1941
time 2021/05/02 10:22:27 AM, Friday
uptime 38day 0hour 16min 57sec
dev id b105daa
IPV6#show license
version : 2.r1941 /2.r1477(newest)
permission : 0y 10m 19d 17h, yingjie networking
last : 7578886955/7578886533
IPV6#
页码:8/45
8
常规配置
默认情况下BridgeOS的桥工作在层2交换模式,切勿将LAN和WAN直接连接在同一个交换机上以防止层二的播送环路。
配置IP地址/网关/DNS
案例1:配置设备interface gigabitethernet 0/0的IP地址为:192.168.1.99/255.255.255.0 网关为192.168.1.1, DNS:8.8.8.8, 管理密码为:abc123,设备名称为:SDHT
BRI#configure terminal
BRI(conf)#interface gigabitethernet 0/0
BRI(conf-g0/0)#ip address 192.168.1.99 255.255.255.0
BRI(conf-g0/0)#exit
BRI(conf)#ip default-gateway 192.168.1.1
BRI(conf)#ip dns 8.8.8.8
BRI(conf)#password abc123
BRI(conf)#hostname SDHT
BRI#configure terminal
BRI(conf)#interface gigabitethernet
BRI(conf-g)#ip address
BRi(conf-g)#exit
BRI(conf)#ip default-gateway
BRI(conf)#ip dns
BRI(conf)#password
BRI(conf)#hostname
进入配置模式,将改变命令提示符
进入物理接口模式下
配置IP地址和子网掩码
退出物理接口模式返回全局配置模式
配置操作系统的默认管理网关〔与业务网关无直接关系〕
配置操作系统的DNS(与业务网关无直接关系)
配置操作系统的密码
配置设备的名称
案例2:默认BridgeOS网桥是层2的网桥,可以穿透层2的播送包,某一运营商考虑到环路问题希望不穿透播送包做成层3的网桥,LAN口的互联IP是10.0.9.1/32 下一跳的接口的MAC是〔内网口互联对端接口〕:28:51:32:03:22:B2,WAN口的互联IP是10.1.9.1/32下一跳的接口MAC是〔外网网关的接口〕:45:67:E4:BA:04:87。
案例2的解决方案:
BRI#configure terminal
BRI(conf)#interface gigabitethernet 0/0
页码:9/45
9
BRI(conf-g0/0)#ip address 10.0.9.1 255.255.255.252
BRI(conf-g0/0)#exit
BRI(conf)#interface gigabitethernet 0/1
BRI(conf-g0/1)#ip address 10.1.9.1 255.255.255.252
BRI(conf-g0/1)#exit
BRI(conf)#interface bridge 0/0
BRI(conf-b0/0)#next-hop mac lan 28:51:32:03:22:B2
BRI(conf-b0/0)#next-hop mac wan 45:67:E4:BA:04:87
BRI(conf-b0/0)#bridge mode route
BRI(conf-b0/0)#exit
BRI(conf)#exit
BRI#write
命令语法:
BRI#configure terminal
BRI(conf)#interface bridge
BRI(conf)#next-hop mac
进入全局配置模式,将改变命令提示符
进入桥接口配置模式
配置互联接口下一跳MAC地址
BRI(conf)#bridge model
配置播送包的透传方式
页码:10/45
10
物理接口类型
RJ45是各种不同接头的一种类型〔例如:RJ11也是接头的一种类型,不过它是 上用的〕;RJ45头根据线的排序不同分为两种,一种是橙白、橙、绿白、蓝、蓝白、绿、棕白、棕;另一种是绿白、绿、橙白、蓝、蓝白、橙、棕白、棕;因此使用RJ45接头的线也有两种即:〔12345678对应12345678〕、交叉线〔12345678对应56341278〕两种。
SFP收发器有多种不同的发送和接收类型,用户可以为每个链接选择适宜的收发器,以提供基于可用的光纤类型〔如多模光纤或单模光纤〕能到达的"光学性能"。可用的光学SFP模块一般分为如下类别:850纳米波长/550米距离的 MMF (SX)、1310纳米波长/10公里距离的
SMF (LX)、1550 纳米波长/40公里距离的XD、80公里距离的ZX、120公里距离的EX或EZX,以及DWDM。SFP收发器也提供铜缆接口,使得主要为光纤通信设计的主机设备也能够通过UTP网络线缆通信。也存在波分复用〔CWDM〕以及单光纤"双向"〔1310/1490纳米波长上行/下行〕的SFP。
商用SFP收发器能够提供速率到达4.25 G bps。10 Gbps 收发器的几种封装形式为XFP,以及与SFP封装根本一致的新的变种"SFP+"。
名称 类型 说明
实际的网卡接口
以物理接口关联对应
以桥接口一一对应
Interface gigabitethernet 0/0
物理接口
Interface bridge 0/0
Interface pppoe 0/0
桥接口〔业务接口〕
PPPOE接口〔业务接口〕
物理接口的相关命令:
BRI(config-g0/0)#ip address 192.168.1.1 255.255.255.0
BRI(config-g0/0)#mtu 1800
BRI(config-g0/0)#hardware features vlan force-off
配置网卡的IP地址
配置网关的MTU值
Force-off 强制关闭硬件处理vlan
Force-on 强制翻开硬件处理vlan
Auto 自动识别,如果硬件支持那么硬件处理,如果硬件不支持那么软件处理
配置接口描述
关闭接口
BRI(config-g0/0)#description ssssssssss
BRI(config-g0/0)#shutdown
页码:11/45
11
桥链路捆绑〔桥模式〕
桥捆绑同样也是遵守桥的转发特性〔轿转发特性----从LAN收到的数据包固定往WAN转发,从WAN收到的数据包固定往LAN转发桥〕,桥的捆绑是就多个桥全并成一个虚拟的桥。
在技术方面讲是多个桥共用一个桥配置,也就是多个桥共同完成一个桥业务。在操作方面就是一个桥参加到另一个桥中去,采用参加的方式介入指定桥的业务。
交换机A
桥捆绑
交换机B
捆绑的步骤:
1、捆绑前选出其中一个桥做配置。
2、然后其它的桥里输入捆绑的命令:
BRI(config-b0/1)# bridge join 0/0
----这个命令就是桥1介入到桥0的桥业务,也就是桥1会把收到的数据包当成是桥0所收到的数据包
提示:捆绑命令只有上述一条,其原理是一个桥参加到另一个桥的流程中,即共享了session表,当一个桥参加到另一个桥之后自身桥的配置将失效包括物理接口的IP地址。其实是一个桥参加到另一个桥。
接口的VLAN特性
接口是支持VLAN数据的接收,但是不需要预先建立好VLAN号,BridgeOS接入任何VLAN并处理任何VLAN,也就是BridgeOS的接口是混杂模式,即收access类型的数据包,也接口trunck类型的数据包而且不需要建立VLAN。Intel的网卡芯片硬件上是支持VLAN处理的,但是有些芯片在处理VLAN方面会有问题,比方发送时VLAN处理失败造成数据包无法发送,多数为PCI-E的光口网卡。那么BridgeOS系统可以强制关闭硬件处理VLAN。
BRI(config-g0/0)#hardware features vlan force-off|force-on|auto
----force-off:强制关闭硬件处理VLAN,
----force-on:强制采用硬件处理VLAN,
----auto:自动识别,检查硬件是否支持硬件处理VLAN,如果支持那么采用硬件处理,如果不硬件不支持那么采用软件处理。
注:有些网卡的硬件自检的参数与实际不符,这才有强制关闭硬件处理的必要性。
页码:12/45
12
页码:13/45
13
PPPOE拔号效劳
以太网上承载PPP协议〔点到点连接协议〕,它利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每一个主机实现控制、计费功能。
与传统的接入方式相比,pppoe具有较高的性能价格比,它在包括小区组网建设等一系列应用中被广泛采用,目前流行的宽带接入方式ADSL 就使用了pppoe协议。
背景案例1:北京某一运营商开通一小区带宽ADSL接入效劳,使用BridgeOS的第一个桥做配置,下发地址池172.16.0.0-172.16.15.255 共16个C的地址,下发DNS
202.106.196.115 192.106.0.20,使用BridgeOS自带的数据做为拔号认证数据库,拔号效劳器上联路由器的网关MAC为23:88:3F:4E:67:09。
案例1的解决方案:
BRI#config terminal
BRI(conf)#interface pppoe 0/0
BRI(conf-p0/0)#ip pool 172.16.0.0 172.16.15.255
BRI(conf-p0/0)#ip dns 202.106.196.115 202.106.0.20
BRI(conf-p0/0)#ip gateway mac 23:88:3F:4E:67:09
BRI(conf-p0/0)#user db radius 172.0.0.1
BRI(conf-p0/0)#server name adsl-server 【自定义】
BRI(conf-p0/0)#pppoe service on
BRI(conf-p0/0)#pppoe session on
BRI(conf-p0/0)#exit
BRI(conf)#interface bridge 0/0 【进入桥模式,改变提示符】
BRI(conf-b0/0)#pppoe enable 【一定要enable, 否那么桥不受理PPPOE效劳】
讲解:
pppoe service on,正常情况下是要on,当值为off时,效劳被关闭,所有用户下线
pppoe session on,正常情况下是要on, 当值为off时,不受理新用户的拔号请求,但不影响在线用户不。
命令语法
BRI#config terminal
BRI(conf)#interface pppoe
BRI(conf-p)#ip pool
BRI(conf-p)#ip dns
进入配置模式,将改变提示符
进入PPPOE接口,将改变提示符
下发用户IP地址段
下发用户DNS
页码:14/45
14
BRI(conf-p)#ip gateway mac
BRI(conf-p)#server name
BRI(conf-p)#user db radius
BRI(conf-p)#user db bypass
BRI(conf-p)#pppoe service
网关接口的MAC地址
效劳名称,自定义,可忽略但不建议忽略
计费数据库Radius的IP地址
免计费模式,用任意用户密码都可以成功拔号。在数据库故障或是数据库维护时使用。
BRI(conf-p)#pppoe session
PPPOE到期提醒配置
到期提醒功能默认为不启用。启用该功能,可以对即将到期的用户给予到期提醒。到期提醒显示在用户的浏览器最上访,用户翻开主页时显示,显示内容中包括账号、到期时间、剩余时间、热线 等。运营商可以设置不同的提醒频率〔时间间隔〕。
到期提醒的设置使用策略方式。假设要启用该功能,首先在全局配置模式下配置一条到期提醒的策略。编号范围为<0, 19>,见编号范围总表fix me。命令:
BRI(config)#expire N message
BRI(config)#expire N phone
BRI(config)#expire N interval
其中,
运营商同时需要设置当剩余多少天视为即将到期,设置的位置在数据库的“down_unit(fix
me,详见附录)〞字段。该字段的单位是“天〞,当设置为0或者为NULL时,即为对该用户不提醒。否那么,当用户可用剩余天数小于该阈值时,被视为即将到期。
上面策略和数据库的字段设置完成后,需要在PPPoE接口中应用该策略,并翻开到期提醒。命令:
BRI(config-pppoe-if)#expire policy N
BRI(config-pppoe-if)#expire on
页码:15/45
15
流量控制
案例1:配置第一个桥interface bridge 0/0 (LAN g0/0 WAN g0/1),NAT内网的所有IP地址进行上网,出口的IP是125.39.156.0-125.39.156.3,网关的MAC是28:51:32:03:22:b0,4个IP平均分配800M流量每个IP跑200M, 内网LAN的互联地址是192.168.11.1/255.255.255.0,外网WAN的互联地址是10.10.11.1/255.255.255.252
BRI#configure terminal
BRI(conf)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
BRI(conf)#ip global 2 125.39.156.0 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.1 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.2 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.3 28:51:32:03:22:b0 200
BRI(conf)#nat map 1 100 2 balanced
BRI(conf)#nat group 6 map 1
BRI(conf)#interface bridge 0/0
BRI(conf-b0/0)#nat policy 6
BRI(conf-b0/0)#nat enable
BRI(conf-b0/0)#exit
BRI(conf)#interface gigabitethernet 0/0
BRI(conf-g0/0)#ip address 192.168.11.1 255.255.255.0
BRI(conf-g0/0)#exit
BRI(conf)#interfafce gigabitethernet 0/1
BRI(conf-g0/1)#ip address 10.10.11.1 255.255.255.252
BRI(conf-g0/1)#exit
案例2:配置第一个桥interface bridge 0/0 (LAN g0/0 WAN g0/1),NAT内网的所有IP地址进行上网,出口的IP是125.39.156.0-125.39.156.3,123.103.6.7-123.103.6.8(VLAN 34),网关的MAC分别是28:51:32:03:22:b0,b8:e8:56:17:6d:9c,带宽分别是800M带宽和200M。对6个地址平均分配流量。内网LAN的互联地址是192.168.11.1/255.255.255.0,外网WAN的互联地址是10.10.11.1/255.255.255.252
BRI#configure terminal
BRI(conf)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
BRI(conf)#ip global 2 125.39.156.0 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.1 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.2 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 125.39.156.3 28:51:32:03:22:b0 200
BRI(conf)#ip global 2 123.103.6.7 b8:e8:56:17:6d:9c 100 34
BRI(conf)#ip global 2 123.103.6.8 b8:e8:56:17:6d:9c 100 34
页码:16/45
16
BRI(conf)#nat map 1 100 2 balanced
BRI(conf)#nat group 6 map 1
BRI(conf)#interface bridge 0/0
BRI(conf-b0/0)#nat policy 6
BRI(conf-b0/0)#nat enable
BRI(conf-b0/0)#exit
BRI(conf)#interface gigabitethernet 0/0
BRI(conf-g0/0)#ip address 192.168.11.1 255.255.255.0
BRI(conf-g0/0)#exit
BRI(conf)#interfafce gigabitethernet 0/1
BRI(conf-g0/1)#ip address 10.10.11.1 255.255.255.252
BRI(conf-g0/1)#exit
命令语法
BRI(conf)#access-list <100-199> permit
BRI(conf)#access-list <200-220>
BRI(conf)#access-list 300
BRI(conf)#access-list 301
BRI(conf)#access-list 302
BRI(conf)#access-list 303
BRI(conf)#access-list 304
BRI(conf)#access-list 305
BRI(conf)#access-list 306
BRI(conf)#access-list 307
BRI(conf)#access-list 308
BRI(conf)#access-list 309
BRI(conf)#access-list 310
BRI(conf)#access-list 311
BRI(conf)#access-list 312
<100-199> 编号100-199扩展ACL,在源IP地址信息和目的IP地址信息
<200-220> 用域名来代表ACL,通过域名学习IP地址段
<300> 冷门IP ACL,用于IP保护。
<301> 游戏的流量
<302>WEB的流量
<303>下载的流量
<304>联通地址段
<305>电信地址段
<306>教育网地址段
<307>国外地址段
<308>铁通地址段
<309>移动地址段
<310>动态图片地址段,用于IP保护
<311>
<312> GET的流量
BRI(conf)#ip global <0-20>
页码:17/45
17
带宽资源出口配置信息,用于NAT根底配置
<0-20> 自定义编号
[VLAN] 可选字段 ,vlan号,当有vlan是使用
[port] 可先字段,本机设备的端口号,多对一,或一对多的桥时使用
BRI(conf)#nat map <0-20>
<0-20> 自定义编号
BRI(conf)#nat group <0-20> map
把多条nat map 放在一个组里
<0-20>自定义编号
配置NAT
NAT的配置使用策略方式。启用NAT之前,首先在全局配置模式下配置NAT策略,然后在桥接口中应用该策略。
NAT策略包括4个局部:ip global、access-list、nat map、nat group。
访问控制列表(access-list)。
访问控制列表用来告诉哪些数据包需要接收、丢弃、NAT转换或者其他操作。访问控制列表有两种,一种为传统的基于四元组匹配〔协议、源地址、目的地址、目的端口〕的访问控制列表,编号从100-199, 另一种为高级访问控制列表,基于该数据包目的地址〔上行〕或者源地址〔下行〕所属的域,编号从200-299。域通过域名来指定,指定域名时,可以使用严格匹配和模糊匹配,严格配置时,在域名前面加上一个点‘.’。例如
abc 指定的域为所有包含abc 的域,包括但不限于 , , abc 等。
.abc 指定的域为abc 。
基于五元组的访问控制列表创立命令:
BRI(config)#access-list N permit {ip|udp|tcp|all|icmp|gre}
编号N的范围为100-199。IP地址的格式是标准点分十进制格式。
对同一个编号屡次使用该命令可以创立多条工程。一个编号最多可以创立20项。
基于域的访问控制列表创立命令:
BRI(config)#access-list N
编号N的范围为200-299。对同一个编号屡次使用该命令可以创立多条工程。一个编号最页码:18/45
18
多可以创立20项。
基于运营商访问控制列表创立命令:(未完成〕
基于动态图片访问控制列表创立命令:(未完成〕
NAT信息用来告诉对数据包做什么处理。包括三个内容:NAT地址、下一跳、带宽。同样地,同一个编号可以创立多个NAT信息,主要用于断网备份和负载均衡。
NAT地址是进行网络地址转换的IP地址。特殊地址“0.0.0.0〞代表NAT到自己,相当于没有做NAT〔但仍然经过NAT系统〕。
下一跳是该数据包下一跳的MAC地址。其中特殊地址“00:00:00:00:00:00〞代表不改变数据包的目的MAC地址,即保持原来的MAC地址不变,此种情况下,下游设备的下一跳应指为BridgeOS系统的上游设备,而非BridgeOS系统,否那么,上游设备会因为目的MAC地址非本地而丢弃该数据包。
带宽的值需要配合映射中的选项使用,意义根据映射中的选项(first或balanced〕不同而不同,用于实现负载均衡与断网备份〔具体见“映射〞与“负载均衡〞fix me〕。当映射选项是first时,其意义是最大带宽〔单位Mbps〕,代表该NAT地址的最大容量。当流量大于该阈值时,自动切换到相同编号的下一个NAT地址。中选项是balanced时,其意义是带宽比例,系统根据该值在组内按比例分配带宽〔该功能有可能导致某些带防盗链的网站访问异常〕。当编号下面只有一个NAT信息项时,映射的选项和带宽的值都被忽略。关于该值的具体使用,见“映射〞与“负载均衡〞fix me。
命令:
BRI(config)#ip global N
N的范围从0-19, 同一个编号N最多可以包含20个NAT信息项。
映射。
映射将访问控制列表与NAT信息做关联,描述了对符合该访问控制列表的数据包要做的行为。命令:
BRI(config)#nat map N
N的范围从0-19。
当ip global编号下面有多个NAT信息项时,关键字first与balanced用于使用何种方法从中选取一个,当编号下面只有一个NAT信息项时,该选项和NAT信息中的带宽字段无意义,被系统忽略。
关键字first,为优先均衡法〔此时NAT信息中的带宽意义为最大允许带宽〕,优先从第一个选取,第一个到达最大允许带宽时,选取下一个。当所有的NAT项都到达其最大允许带宽时,系统使用balanced方法。
关键字balanced,为比例均衡法〔此时NAT信息中的带宽意义为带宽比例〕,从多个NAT项中,按比例随机选择,比例大 ,选择的概率大。〔具体见“负载均衡〞fix me〕。
分组。
分组是将映射分成组,一个组完整表达了一个NAT任务的所有内容。在接口按组来应用,而不是单个映射。命令:
BRI(config)#nat group N
N的范围为0-19。一个编号最多有20个映射。
19
页码:19/45
启用NAT
桥接口启用NAT之前,需要指出NAT的策略,NAT的策略通过应用某个分组来完成。命令:
BRI(config-bri-if)#nat policy
在桥接口中应用该命令,指明接口中的NAT策略是哪个分组。
最后,需要启用NAT。命令:
BRI(config-bri-if)#nat enable
至此,NAT已经启用。需要查看NAT的运行状态,包括所对应的访问控制列表、NAT信息、流量、是否断网等,使用BRI#show interface bridge 0/N nat。N指定查看哪个接口。
多出口负载均衡
NAT的负载均衡是将流量NAT到不同的地址和出口的技术。负载均衡的方法有两种,一种为优先策略,一种是随机比例。对应映射中的关键字分别为first和balanced。
随机比例即在多个地址中随机选择NAT地址与出口。比例大的被选中的概率大,反之被选中的概率小。例如:
BRI(config)#ip global 0
BRI(config)#ip global 0
BRI(config)#ip global 0
那么出口A、B、C按比例分配带宽。假设总带宽为100M,那么出口A、B、C分别分配的带宽为
50M、33M、16M。随机比例分配带宽可能导致某些带防盗链的网站访问异常。
优先策略即优先选择靠前的NAT地址,当靠前的地址已经到达最大带宽容量时,选择下一个比拟靠前的地址。例如:
BRI(config)#ip global 0
BRI(config)#ip global 0
BRI(config)#ip global 0
当桥接口带宽小于300M时,那么始终选择出口A。
当桥接口带宽为500M时,出口A带宽300M,出口B带宽200M。
当桥接口带宽为800M时,出口A带宽300M,出口B带宽200M,出口C带宽100M。
当桥接口带宽大于800M时,超出局部按随机比例策略。
多出口的断网备份
断网备份是指当系统检测到一个出口断网时,自动将该出口从列表中剔除,选择其他可用出口,该出口恢复时,又将出口恢复到列表中。只有存在多个出口时,断网备份才有效,当ip global下只有一个NAT信息项时,始终使用该出口,不切换。
对于存在多个NAT信息项的ip global,系统定时检测每个NAT信息项出口的状态,发现某个出口断网时,那么将该出口的允许带宽或者比例带宽置为0,该出口不在NAT的范围之内。剩下的可用出口中,仍然按照映射的选项〔first或者balanced〕不同,进行优先策略负载均衡或者随机比例负载均衡。典型的断网备份的配置如下:
BRI(config)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
页码:20/45
20
BRI(config)#ip global 0
BRI(config)#ip global 0
BRI(config)#nat map 0 100 0
该配置说明,对所有的流量,都NAT到出口A。只有出口A断网时,切换到出口B。
NAT〔网络地址转换〕
视频与大文件流量引导、DNS劫持、广告功能,都依赖于NAT模块,只有启用NAT时,才可以启用该功能。如果不需要做NAT而要使用流量引导,可以使用NAT到自己的方式,即使用特殊NAT地址“0.0.0.0〞。例如以下配置即为将所有的数据都NAT到自己:
BRI(config)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
BRI(config)#ip global 0 0.0.0.0
BRI(config)#nat map 0 100 0 first
在桥接口实用该策略即可。为了方便,系统定义了一个NAT到自己的常用策略,编号为20,用户在接口中直接应用该策略即可:nat policy 20,不需要在全局模式下配置访问控制列表和映射等。
特性NAT之 ‘空NAT’
BRI(config)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
BRI(config)#ip global 0 0.0.0.0 00:00:00:00:00:00 1000
BRI(config)#nat map 0 100 0 first
BRI(config)#nat group 0 0
这只是一个空NAT的例子,空NAT就是把自己NAT到自己,也就是跟没有做NAT是一样的,所以实际上是没有做NAT,不同的是空NAT在内核里建立了session表,这个表可以给其它功能特性提供连接跟踪根底。
NAT之状态特性
在起nat时出现以下情况将表达出NAT路由穿透特性:
比方你的客户的地址是123.123.0.0/16一个B的地址,这段地址在公网上是能访问的,
但是你的客户在经过你的桥做了一个nat,把这段地址nat到了8.8.8.8,那么正常情况下公网是不能再访问123.123.0.0/16这段地址的,盈捷的网桥处理方式如下:
NAT的公网地址为8.8.8.8,而公网发过来的包目的IP是123.123.0.0/16,这时认为是反穿透,对这个包做一个穿透session记录,然后客户的主机应答时就不会nat到8.8.8.8了。
注:这个返穿透在三层的桥模式里一定要写 next-hop mac……,(请参考层二转发与层三转发)
NAT之策略特性
结合空NAT,本特性就是完全的策略路由器了
页码:21/45
21
根据联通、电信路由表做NAT
系统包括了主流路由表:
联通路由表: access-list 304
电信路由表: access-list 305
铁通路由表: access-list 308
移动路由表: access-list 309
教育网路由表: access-list 306
国外路由表: access-list 307
BRI
<100, 199> for legacy ACL
<200, 299> for advanced domain name ACL
<300, 300> Special ACL for protection traffic
<301, 301> special ACL for game traffic
<302, 302> special ACL for web traffic
<303, 303> special ACL for download traffic
<304, 304> route table of China Unicom
<305, 305> route table of China Telecom
<306, 306> route table of Enet (educational network)
<307, 307> route table of Oversea Web Site
<308, 308> route table of China Railcom
<309, 309> route table of China Mobile
关闭NAT配置自动加载
在设备日常维护过程中可能会对ACL、ip global、nat map、nat group做一些调整,在调整的过程中配置是实时生效的。有时候这种机制会带来麻烦,比方在设备所带的流量比拟大的时候而且要改的配置相比照拟多,在改动的过程中需要一定的时间,那么在改动过程中的这段时间里会对流量业务有影响。因此BridgeOS提供了关闭NAT配置自动加载的方法。
BRI
#关闭NAT配置自动加载〔这个命令在设备重起后自动失效〕
BRI
#翻开NAT配置自动加载
BRI#reload policy
#重新加载NAT策略
BRI
#在桥中应用NAT策略〔在关闭配置NAT自动加载的情况下也能实时生效〕
页码:22/45
22
ADSL绑定
案例:配置第一个桥 interface bridge 0/0 (LAN g0/0 WAN g0/1),绑定3个联通ADSL帐号用于NAT。3个帐号分别是〔用户名:s23453 密码:45678212 VLAN 34,用户名:s67234 密码:76092348 VLAN 35,用户名:s09874 密码:56092305 VLAN 36 〕
BRI#configure terminal
BRI(conf)#dial-up 0 s23453 45678212 0/1 34
BRI(conf)#dial-up 1 s67234 76092348 0/1 35
BRI(conf)#dial-up 2 s09874 s09874 0/1 36
BRI(conf)#access-list 100 permit all 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0
BRI(conf)#ip global 2 pppoe 0
BRI(conf)#ip global 2 pppoe 1
BRI(conf)#ip global 2 pppoe 2
BRI(conf)#nat map 1 100 2 balanced
BRI(conf)#nat group 6 map 1
BRI(conf)#interface bridge 0/0
BRI(conf-b0/0)#nat policy 6
BRI(conf-b0/0)#nat enable
查看绑定的帐号:
BRI#show dial-up summary
BRI#show dial-up detail
BRI#configure terminal
进入配置模式,将改变命令提示符
BRI(conf)#dial-up <0-699>
<0-699> item 自定义的编号
[vlan]进行拔号的VLAN号,参考实际的网络结构
23
页码:23/45
VPN-PPTP效劳
PPTP〔Point to Point Tunneling Protocol〕,即点对点隧道协议。该协议是在PPP协议的根底上开发的一种新的增强型平安协议,支持多协议虚拟专用网〔VPN〕,可以通过密码验证协议〔PAP〕、可扩展认证协议〔EAP〕等方法增强平安性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络平安地访问企业网。
案例1:建立VPN效劳
BRI#configre terminal
BRI(conf)#enable
BRI(conf)#service pptp
BRI(conf)#ip pool 10.10.11.0 10.10.11.255
BRI(conf)#ip dns 8.8.8.8 114.114.114.114
BRI(conf)#ip local 192.168.1.99
页码:24/45
24
BRI(conf)#user db radius 127.0.0.1
BRI(conf)#exit
BRI#configre terminal
BRI(conf)#service pptp
BRI(conf-pptp)#enable
进入配置模式,将改变命令提示符
进入PPTP配置模式,将改变命令提示符
翻开VPN功能
BRI(conf-pptp)#ip pool
VPN可分配的IP地址段
BRI(conf-pptp)#ip dns
VPN下发的DNS
本地VPN效劳的IP地址
BRI(conf-pptp)#ip local
BRI(conf-pptp)#user db radius
页码:25/45
25
广告推送
广告投放功提供了一个广告投放的平台,当启用了PPPoE时,管理者也可用于实现自己的用户提醒。广告投放的页面显示在用户的浏览器右下角,当用户点击某个主页时投放。
广告投放的配置使用策略方式。首先在全局配置模式下,创立策略,命令:
BRI(config)#advertisement N url
BRI(config)#advertisement N interval
N的范围为0-19。
然后在接口模式中应用该策略,命令:
BRI(config-bri-if)#advertisement policy
最后启用广告投放功能,命令:
BRI(config-bri-if)#advertisement enable
本功能需要启用NAT。
页码:26/45
26
特殊行业公网IP地址保护/隐藏的原理和方法
两种方法分别基于两种原理
一种是基于查找替换的方法,另一种是是冷门网站的识别方法
是基于 页面内容的查找和替换
本方式采用内核网络子系统IP数据包转发过程中基于包转发的字符串查找技术,因此一些基于图片方式显示IP或是一些加密的方式不能通过此种方式处理,另外由于本功能是根据应答数据流中的目的IP做为查找对象,所以要公网IP才能起作用,NAT的下联部署不会成功,只能部署在NAT的上联或是在本设备中启用NAT,也就是说通过流量的IP必需是公网IP。
BRI(config)#interface bridge 0/3 //进入接口桥0/3〔举例在桥3起用字符串IP替换〕
BRI(config-bri-if)#ip replace 11.22.33.44 11.22.33.45 //输入要显示的IP地址段
提示:这种方法自动识别你的公网IP地址然后进行页面的查找替换,ip replace 后面跟着的两个地址是替换地址段(要显示在页面上的地址)的开始和结束,替换时随机选其中一个,这种方法不是所有的网页都能替换,因为一些网站对显示的IP做了加密的保护
基于冷门的策略
分析:专业查看公网IP的从业人员不会通过常规的方法去探测公网IP的,他们会建立自己的公网探测效劳器,往往这种探测的效劳器的访问量会很底,此种方法的nat就是根据底访问量的目的ip做条件的nat。这种方法的缺点是需要一个平安的网络出口〔可以是ADSL的拔号出口做为平安出口,把底访问量的IP 做nat到adsl上去〕
冷门的阀值设置方法
BRI(config)#access-list 300 20 60
#其中的access-list 300是固定的冷门ACL不可以自行定义只能是300,也就是说内核对冷门的识别阀值只从ACL 300中读取,其中20是指时间秒数可以自己定义,60是指前面设定的时间里通过的桥的数据包的个数。
页码:27/45
27
这样就生成了冷门的阀值,生成后就可以当在NAT配置中调用这个ACL 300,调用方法跟普通的ACL没有区别
页码:28/45
28
TTL跳数相关
TTL是IP数据包为了解决网络环路而设置特有的字段值,IP数据包数据每经过一个路由器就会减一,WIN系统和Lunux系统初始化IP数据包对TTL字段的默认值都不一样。BridgeOS设备不是路由器也不是交换机,是一个可以是层三的桥,也可以是层二的桥,当BridgeOS配置成层三时经过的IP数据包同样会减去1,但配置成层二模式时不会对TTL进行减一操作,除非使用ttl命令配置
BRI#config terminal
BRI(conf)#interface bridge 0/
进入配置模式,将改变提示符
进入桥接口。设备共有4种接口,分别是物理接口〔interface〕,桥接口〔interface
bridge〕,pppoe拔号接口〔inerface
pppoe〕,虚拟接口〔interface vir〕。
BRI(config-bridge)ttl
背景案例
案例1:为了防止路由器环路,网络IP数据包每经过一个路由都会对TTL值减去1,TTL值为0时路由器就会丢掉这个数据包。北京某一运营商内部网络路由级联比拟多,出网关后TTL值比拟小很多远方的国外网站因为经过路由器太多TTL开销大,没到国外网关TTL就减到了0而被路由器丢掉,此运营商想解决这个问题,希望出网的数据包ttl加上20,网关配置在interface bridge 0/0。
案例2:某一商业局域网希望只允许内部计算机访问8跳路由之内的主机,8跳之外的主机禁止访问,网关配置在interface bridge 0/0。
页码:29/45
29
案例1的解决方案
BRI#config terminal
BRI(conf)#interface bridge 0/0
BRI(conf)#ttl out increase 20
案例2的解决方案
BRI#config terminal
BRI(conf)#interface bridge 0/0
BRI(conf)#ttl fixed 8
页码:30/45
30
P2P相关
P2P上传差量限制
在一些带宽上传紧张的应用场合中可以启用本功能可以限制P2P的上传,本功能采用阻断的方法限制P2P上传。限制方法为:计算上下行流量的差额,根据设置的阀值进行阻断连接
命令语法:BRI(config-b0/0)#p2p upload limit <0, 102400>
举例:BRI(config-b0/0)#p2p limit upload 10
上命令在桥0上实现,命令实时生效,上例的10是的单位是〔kByte),即在p2p中通过过程中如果上行流量比下行流量多10K就阻断连接,这个对上行不够的出口中表示良好。
P2P下载差量限制
在一些带宽紧张的应用场合中可以启用本功能可以限制P2P的下载,本功能采用阻断的方法限制P2P上传。限制方法为:计算上下行流量的差额,根据设置的阀值进行阻断连接
命令语法:BRI(config-b0/0)#p2p upload limit <0, 102400>
举例:BRI(config-b0/0)#p2p limit download 1024
上命令在桥0上实现,命令实时生效,上例的1024是的单位是〔kByte),即在p2p中通过过程中如果下行流量比上行流量多1024K就阻断连接,这个功能只是一定程序上减少P2P连接
页码:31/45
31
P2P握手〔打洞〕的限制
命令语法:BRI(config-b0/0)#p2p upload limit <0, 102400>
举例:BRI(config-b0/0)#p2p limit punch 1
上命令在桥0上实现,命令实时生效,上例的1是的单位是〔数据包的个数),即在UDP通信中如果只能一个请求一个应答,否那么就阻断连接,这样就阻断了正向P2P握手,由于P2P握手是比拟复杂,本功能只是提供一种机制,在实际应用中并不能完全阻断所有的P2P握手
页码:32/45
32
在WEB 中嵌入Javascript
可以通过配置在所有的网页中嵌入Javascript,这个用于广告或缓存技术的拓展,或是其它的用途。因为这种技术用途比拟广所以不做用途的一一介绍。
嵌入命令:
BRI(config-b0/0)#ip service-center 125.39.8.80
后面的IP地址为javascript存放的效劳的IP地址,如果你的设备ID为1234567,那么每个网页会嵌入一个这样的javascript.
Src = ://125.39.8.80/
其中IP地址为是可以为任何WEB效劳器,只要效劳器中存在这个js.如果效劳器不存在js也一样会嵌入,只是用户无法下载js而已。
页码:33/45
33
DNS缓存加速
代码级别:内核
功能依赖:无
运行方式:桥模式、分光镜像〔抢先应答〕
DNS〔Domain Name System,域名系统〕,因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接>读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析〔或主机名解析〕。DNS协议运行在UDP协议之上,使用端口号53。
BridgeOS的DNS不同与Linux 的DNS效劳bind进程,以下表用nslookup查看DNS解释结果。
Linux bind进程
DNS应答:
开始菜单-运行-CMD:
nslookup baidu
cmd>nslookup baidu
Server: 202.106.196.115
Address: 202.106.196.115#53
Non-authoritative answer:
baidu canonical name = .
Name:
Address: 61.135.169.125
Name:
Address: 61.135.169.105
cmd>
BridgeOS DNS-Cache
DNS应答:
开始菜单-运行-CMD:
nslookup baidu
cmd>nslookup baidu
Server: 202.106.196.115
Address: 202.106.196.115#53
Non-authoritative answer:
Name: baidu
Address: 61.135.169.105
cmd>
(注:Linux有递归过程)
(注:BridgeOS无递归过程)
背景举例
案例1、北京某一运营商希望建立自己的DNS, 更新主DNS为202.106.196.115,辅DNS为202.196.0.20,公网的DNS对单IP有连接限制200次每秒,要求1:DNS条目在内存中存活7天〔即 604800秒〕才老化(TTL),更新失败超时3秒,要求2:只存储 的域名和 .net 域名,其它域名不缓存。
案例2、山西某一运营商希望建立自己的DNS, 更新主DNS为202.106.196.115,辅DNS为202.196.0.20,添加静态DNS条目为:192.168.1.9 abc123 ,并将*.qq 转发页码:34/45
34
到移动的DNS 114.114.114.114
案例3、温州移动希望以抢先应答的方式静态指定 2345 , icbc 到CDN效劳器1.1.1.1和2.2.2.2,应答接口g 0/0 ,下一跳MAC为45:23:3C:F3:4E:67
案例1的解决方案
BRI#config terminal
BRI(conf)#service dns
BRI(conf-proxy)#enable
BRI(conf-proxy)#update dns-server 202.106.196.115 202.106.0.20
BRI(conf-proxy)#update interval 5
BRI(conf-proxy)#update timeout 3000
BRI(conf-proxy)#alive 604800
BRI(conf-proxy)#cache
BRI(conf-proxy)#cache .net
案例2的解决方案
BRI#config terminal
BRI(conf)#service dns
BRI(conf-dns)#enable
BRI(conf-dns)#update dns-server 202.106.196.115 202.106.0.20
BRI(conf-dns)#cache .
BRI(conf-dns)#static 123abc 192.168.1.9
BRI(conf-dns)#forward .qq 114.114.114.114
案例3的解决方案
BRI#config terminal
BRI(conf)#service dns
BRI(conf-dns)#enable
BRI(conf-dns)#static 2345 1.1.1.1
BRI(conf-dns)#static icbc 2.2.2.2
BRI(conf-dns)#transmit gigabitethernet 0/0 45:23:3C:F3:4E:67
语法表
BRI#config terminal
BRI(conf)#service dns
BRI(conf-dns)#enable
BRI(conf-dns)#update dns-server
BRI(conf-dns)#update interval
BRI(conf-dns)#update timeout
BRI(conf-dns)#alive
BRI(conf-dns)#log
进入配置模式,将改变提示符
进入DNS配置模式,将改变提示符
起用DNS功能
配置DNS更新地址
两个更新请求之间的时间间隔〔毫秒〕
更新超时〔毫秒〕
DNS条目的老化时间,即DNS的TTL值
DNS远程日志,调试分析/数据挖掘用
页码:35/45
35
BRI(conf-dns)#cache
cache 表示缓存*
cache .net 表示缓存*
cache baidu 表示缓存*baidu*
cache . 表示缓存所有域名
cache ^ baidu 表示只缓存 baidu 这一个域名
BRI(conf-dns)#forward
将域名递归到dns1,dns2效劳器
BRI(conf-dns)#transmit gigabitethernet
在分光镜像的网络模型中翻开抢先应答的方式起用DNS
[vlan] 可选,VLAN号
BRI(conf-dns)#exit
退出DNS配置模式,将改变提示符
排错命令
BRI#show running-config global
BRI#show running-config dns
BRI#show service dns
BRI#show service dns update
BRI#show service dns hit
查看全局配置
查看DNS配置〔r3.0以上版本〕
查看DNS运行所有全局数据
查看DNS更新日志,更新成功或失败的记录,和更新所用时间。(r.3.0以上版本)
查看DNS缓存命中日志。(r.3.0以上版本)
页码:36/45
36
WEB缓存
代码级别:内核、无IO设计
功能依赖:NAT + 内存/ 磁盘
运行模式:桥模式、主机模式
背景小知识:网页、图片、JS/CSS这类的 文件单个文件比拟小,有超高的访问量,保存在硬盘中会出现磁盘IO问题。根本解决磁盘IO问题就是采用无IO的设计。BridgeOS的小文件不采用磁盘做为小文件存储媒介。
设计理论根据:
1、小文件下载更新数据速度快,一般在秒级别就可以下载一个网页或图片,一个网页或是图片更新一次所花费的时间本钱和带宽本钱都很底。
2、以4个小时为参考单位,一个图片或网页在4个小时之内访问了2次或是屡次,BridgeOS认为是有必要缓存命中的。4个小时只访问了一次或是0次,这个文件认为可以老化。目的是缓存热门的文件,不缓存冷门的文件。
3、文件最少在内存中存活4个小时,缓存文件在内存中以链表的形式进行存储,当一个文件被访问时会把这个文件从链表中移动到链表的头部,链表中排队的文件往后移。当一个新文件更新到缓存时是从链表的底部获取空间并移动链表的头部。链表的头部所存储的文件并不是最热门的文件,但链表底部的文件一定是冷门的文件。假设文件从头部一移到底部一共经历了4个小时BridgeOS认为这个链表的内存空间分配合理,否那么考虑加内存到达一个文件最少在内存中存活4个小时。
4、文件在内存中存活不了4个小时,可以考虑用多台设备组成一个数据中心,进行分布式缓存。BridgeOS的数据分析平台可以获得域名的访问排名,把热闹的域名别离出来单独放在一台设备以提高缓存的命中率。
5、小文件缓存在分布式部署上可以用BridgeOS的DNS效劳和主机代理共同完成分布式部署。
BRI#config terminal
BRI(conf)#service web
BRI(conf-web)#enable
进入配置模式,将改变提示符
进入WEB缓存配置模式,将改变提示符
起用WEB缓存功能
BRI(conf-web)#rule normal
<0-8> 0是指不缓存,1是指直接应答一个空文件,2是指直接应答404文件不存在,3.。。
BRI(conf-web)#rule normal
页码:37/45
37
BRI(conf-web)#rule refer
<0-8> 0是指不缓存,1是指直接应答一个空文件,2是指直接应答404文件不存在,3.。。
BRI(conf-web)#rule refer
背影案例
案例1:广州某一带宽运营商为了提图片的翻开速度并节省带宽出口,想缓存所有的图片文件。
案例2:广州某域名网禁止员工看电影,把所有的 .mp4、.flv 视频替换成公司的宣传广告4
案例1的解决方案
BRI#config terminal
BRI(conf)#service web
BRI(conf-web)#enable
BRI(conf-web)#cache . .jpg level 6
案例2的解决方案
BRI#config terminal
BRI(conf)#service web
BRI(conf-web)#enable
BRI(conf-web)#cache . .mp4 file
4
BRI(conf-web)#cache . .flv file 4
BridgeOS可以针对特定域名静态指向的方法进行部署缓存,在一些热门的下载域名可以参考下面案例部署。
案例3:北京某一运营商想把BridgeOS设备做成一台CDN缓存镜像主机,镜像腾讯的软件下载效劳器 、 ,BridgeOS的管理地址是192.168.1.8
页码:38/45
38
案例3的解决方案
1、BridgeOS设备不需要配置缓存的相关操作,所需要相关的磁盘空间和目录结构在出厂时就初始化完毕,缓存的子目录是动态生成,只需将
和 静态解释到192.168.1.9〔DNS的配置请参考DNS相关章节〕。
2、BridgeOS默认开启了磁盘缓存模式并翻开TCP80做为请求监听
3、单机测试方法:修改C:windowssystem32driveretchosts〔Linux
/etc/hosts〕 ,添加2行:
192.168.1.9
192.168.1.9
4、BridgeOS不会自动删除文件,在部署过程中联系厂家的技术效劳部解决些类相关问题。
BridgeOS还支持URL重写的方式缓存大文件,这种方式为数据中心重定向时使用,大多数视频效劳器是没有域名的,所以不能用域名的方式进行DNS指定,所以这种方式可以在调度上做文章,进行重写URL。YOUKU的视频调度是 , 奇易的视频调度是 , 乐视的视频调度是 / 。
管理地址以192.168.1.9为例进行说明:
BridgeOS从TCP 192.168.1.9:80监听到原始URL:
://192.168.1.9/cache-bri/123.456.1.1/down/
URL重写后为:
://123.456.1.1/down/
BridgeOS将会从 ://123.456.1.1/down/ 同步这个文件
部署前提要进行URL重定向,在原始URL中参加缓存的IP和cache-bri目录
以下是BridgeOS内部的重写机制以供参考:
e = ( "^/cache-bri/(.*)" => "/curl/?url= ://$1" )
$ ["host"] =~ "^[a-z](.*)" {
e = ( "^/(.*)" => "/curl/?url= ://%0/$1" )
}
调试接口: ://<管理IP>/curl/
调试接口用于测试缓存〔接口方式不经过e〕
192.168.1.9是bridgeOS的接口地址,/cache-bri/是BridgeOS进行URL重写的标识关键字,只要TCP80监听到的URL中第一个目录是/cache-bri/,BridgeOS那么重写URL剥去/cache-bri/关键字。重写URL在很多大型组网中都会用到,在网管技术不高或是网络模型比拟单一的情况下不适用。大型网络中对门户视频网站的调度效劳进行
代理的方式重写调度报文经常使用这种方法把视频缓存在网内的数据中心。
考虑到视频文件和CDN主时机在不同的效劳器上保存同一份文件,BridgeOS的硬盘缓存会重写以数字带头的主机名,将文件夹重写成一个固定的目录 static_ip , 一个视频文件,可以以多份的形式保存在上海,北海,广州。例: ://61.135.169.105/video/,以static_ip/目录下,页码:39/45
39
而 :// baidu /video/会保存在 baidu /video/目录下,区别在于主机以数据带头和字母带头对目录的分配采用有区别的方式。
实际目录动态生成情况请参考【磁盘】: ://<管理IP>/bridgeos/
页码:40/45
40
主机代理
代码级别:内核,运营商级别的代理
功能依赖:NAT
运行方式:桥、主机模式
何为主机代理, 在互联网技术应用中有各种各样的互联网代理技术,如网页代理,ssh代理, ftp代理等,这些都是基于互联网的某些特定应用的代理技术或软件,BridgeOS所提出的主机代理并非上述所提出的针对某些互联网的特定应用的代理,而是某一台主机的所有互联网应用代理,在技术层面上本质是用一个内部的一个IP代理公网上的一台效劳器主机,例如用局域网的192.168.1.8代理公网上的谷歌DNS 8.8.8.8, 当然目标主机不仅限于DNS,任何基于IP协议通信的主机都可以。主机代理是BrigeOS内核代码的一局部,是BridgeOS操作系统的一个功能,并非是一个独立的应用软件。
一台拥有完整商业授权BridgeOS可以仍有成千上万个主机代理,主机代理中的一个代理实质是一个特殊的NAT Session存在,因此在转发效率上与NAT等同,基技术本质是一个一对一的NAT。
下面以背景举例逐层深入讲解主机代理的运用操作
1、主机代理之“静态主机代理〞
静态主机代理是手动添加条目的代理方式,是代理中是根本最简单的一种代理方式
背景举例
案例1.1、某一互联网运营商ISP有多个互联网出口———联通、电信、铁通,联通电信是正常的专线出口,铁通是网内对等互联,其中铁通拥有免费的YOUKU CDN镜像点。现运营商希望用户访问铁通的YOUKU CDN镜像点而不走联通电信昂贵的专线出口。
案例1.2、山西某一运营商〔ISP〕没有自己的DNS效劳器,考虑到公网DNS不稳定运营商不希望直接下发公网的DNS给终端用户,希望网内的某一IP代表公网的DNS,到达公网DNS故障时可以随时换公网的DNS。
案例1.1的解决方案
YOUKU的CDN调度域名是 ,只要把 从铁通的出口出去,终端用户的YOUKU视频就会从铁通的CDN镜像是访问。〔BridgeOS包涵DNS效劳功能,内核级别〕
BRI#config terminal
BRI(conf)#service host-proxy
BRI(conf-proxy)#proxy destince 192.168.1.8
案例1.2的解决方案
BRI#config terminal
BRI(conf)#service host-proxy
BRI(conf-proxy)#proxy static qq dns-server
BRI(conf-proxy)#
页码:41/45
41
2、主机代理之“落地代理〞
满地代理主机解决跨网传输的网优问题
2.1、背景举例:北京某一互联网运营商ISP拥有多个出口,北京当地出口3G,天津联通出口1G(125.39.155.0/24)。此运营商当前使用北京联通DNS,当使用天津出口时发现这样一个情况,用户访问网页会经过天津再到北京IDC,北京联通与天津联通之间网间受限,网页慢。天津联通有CDN加速IDC机房。由于大网不能改变DNS,此运营商希望大网保存北京联通的DNS,但使用天津出口时优先访问天津CDN加速IDC。
2.2、背景举例:某一运营商向外提供商业VPN效劳,VPN出口使用北京电信出口218.240.0.0/24,用户从全国各地VPN过来,而且用户有自己的DNS。此运营商希望减少跨网传输但又不能改变用户的DNS.
案例2.1的解决方案
BRI#config terminal
BRI(conf)#service host-proxy
BRI(conf-proxy)#
案例2.2的解决方案
BRI#config terminal
BRI(conf)#service host-proxy
BRI(conf-proxy)#proxy static qq dns-server
BRI(conf-proxy)#
3、主机代理之“域名代理〞
3.1、北京某一互联网运营商有多个出口,移动内网1G〔BGP对等互联〕,联通专线出口1G,运营商希望*.qq 、*.sina 走移动内网1G,其它默认走联通1G。移动的内网DNS是
3.2、北京某一互联网运营商有多个出口,铁通内网1G〔BGP对待互联〕,联通专线出口1G,运营商希望奇易视频和乐视视频走铁通内网1G,其它默认走联通1G。移动的内网DNS是
页码:42/45
42
ISP选择分路器
背影案例:北京某一开发商在楼盘开发里已完成弱电以太网综合布线,现希望引进多家小区带宽运营进行共同运营,运营中共享以太网综合布线。
分配电信的前缀是〞tel.〞,联通是〞cnc.〞,某一二级运营商为“sdht.〞
解决方案:
BRI#configure terminal
BRI(conf)#service isp-choice
BRI(conf-isp-choice)#enable
BRI(conf-isp-choice)#pppoe prefix tel. gigabitethernet 0/2
BRI(conf-isp-choice)#pppoe prefix cnc. gigabitethernet 0/3
BRI(conf-isp-choice)#pppoe prefix sdht. gigabitethernet 0/4
service isp-choice
enable
pppoe prefix
pppoe prefix
BRI#configure terminal
BRI(conf)#service isp-choice
BRI(conf-isp-choice)#enable
进入配置模式,将改变命令提示符
进入ISP分路器配置模式,将改变命令提示符
翻开功能
BRI(conf-isp-choice)#pppoe prefix
[remove-prefix] 前缀剥离
命令可以命令多条
[remove]可先字段,表示在PPPOE号进行前缀剥离。
联通的帐号可以是123456,电信的ADSL也可以是123456,用户可以用cnc.123456和tel.123456进行区别,在isp-choice效劳进行帐号剥离
案例2:某一运营商有多个出口,游戏出口,正常出口,用户在拔号时可以自由选择出口。
service isp-choice
enable
页码:43/45
43
pppoe prefix game. gigabitethernet 0/2 remove-prefix
pppoe frefix normal. gigabitethernet 0/3 remove-prefix
页码:44/45
44
常规升级
步骤:下载IOS、指定系统IOS的版本、重加载IOS
1、下载IOS
两种方法下载IOS分别是下载最新版和下载指定版本
方法1:
BRI#system download version newest #下载最新版
方法2:
BRI#system download 2 1009 #下载指定版本
2. 指定系统IOS的版 BRI#system version 2 1009 #指定系统IOS版本号
3. 重加载IOS
两种方法加载IOS,分别是重起设备另一种是用命令热加载
热加载的命令:
BRI#system apply version #应用指定的版本号
页码:45/45
45
本