无色无味(杨波) 的Web Log(博客)
MPLS初步介绍 for NP
标签:一个短而定长且物理连续的标识符,用于标识一组共享相同目的地的网络,一般仅在本地有意义。
标签栈:一个有序的附加在数据包头的标签集,栈中的所有标签都相互独立。
标签交换:基本的转发操作,包括查找入标签,确定出标签、封装方式、端口以及其他数据处理信息。
标签交换跳(LSH,Label-Switched Hop):位于两个MPLS节点间的路由跳,在这些跳上使用标签进行转发。
标签交换路径(LSP):特定FEC中的数据包在分层结构中同1层次所经历的一个或多个LSR路径。
标签经换路由器(LSR):能够转发带有标签的数据包的MPLS节点。
MPLS域:一个执行MPLS路由和转发操作的连续节点集,通常位于同一个路由或管理域。
MPLS边缘节点:与MPLS域外的邻居节点进行互联的MPLS节点。
MPLS出节点:负责处理离开MPLS域的流量的节点。
MPLS入节点:负责处理进入MPLS域的流量的节点。
MPLS标签:携带在数据包头中表示数据包FEC的标签。
MPLS节点:运行MPLS的节点。MPLS节点能够理解MPLS控制协议,运行一种或多种3层路由协议,能够根据标签转发数据包。作为可选项,MPLS节点还可以转发纯3层的数据包。
MPLS的基本路由选择原理与其他路由协议完全一样。
FEC:Forwarding Equivalent Class
FEC是一组按相同方式、经相同路径、每跳转发处理行为均一致的IP包。
所有被分配到同一个FEC的数据包在转发决定上无任何区别,同一个FEC中的所有数据包(而不是某个数据包)都必须遵循与该FEC相关联的路径。
在MPLS中,数据包的检查以及FEC的分配都只发生一次,均由MPLS入节点来完成。FEC被编码为一个短而定长的值,称为标签,即数据包在被转发前就打上了标签。
从交换进程的角度看,MPLS网络中只有边缘LSR才进行路由表的查寻操作。
Cisco IOS软件中用于MPLS交换的底层机制由CEF来提供。
路由器交换机制:
进程交换(Process Switching):独立处理每个数据包,在转发数据包之前需要查找整个路由表,这是最慢、也是最耗费资源的一种包转发方法。
高速缓存驱动型交换(Cache-driven Switching):也叫快速交换(FastSwitching),使用存储在内存中的包目的地来转发数据包。对特定的目的地来说,第一个数据包仍采取进程交换方式,但处理完之后会在路由表内存中以快速交换缓存的方式增加一个表项,这样一来,以后碰到去往相同目的地的数据包时就无需再查找路由表了。也称为“一次路由,多次交换“。
拓扑驱动型交换(Topology-driven Switching):也叫CEF交换,通过预定的FIB来实现高速的3层交换功能。
快速交换缓存中的条目有效时间为60秒。
CEF是一种使用FIB的拓扑驱动型交换技术,FIB是IP路由表的一种镜像映像,当拓扑结构发生变化时,FIB就会随着IP路由表的更新而更新。CEF FIB的更新不是数据包触发更新,而是变化触发更新,随着IP路由表的收敛,CEFFIB也随之更新。更新机制依赖于路由协议用以更新维护信息所用的算法(无论路由协议是链路状态协议还是距离矢量协议),但又与其相分离。
与快速交换缓存机制不同,FIB中无出接口以及相应的2层封装信息。为此,CEF维护了一张邻接表,其中,任何无法通过单条2层连接进行联系的节点都被称为邻接(adjacent)节点。邻接关系建立在2层之上,并被链接到FIB中的条目,
因而无需ARP请求操作。一旦发现了邻接关系,那么邻接表就会与相应邻接设备的相关信息一起被更新。
MPLS将传统的路由选择机制划分为两部分:控制平面和数据平面。
控制平面负责处理复杂的路由选择机制,包括OSPF、EIGRP、IS-IS、BGP和LDP等。
数据平面的唯一功能是根据路由协议或LDP提供的信息来转发流量,会创建一个存储标签信息的LFIB(LabelForwarding InformationBase),以便为转发引擎将数据包转发到目的地提供信息。创建LFIB的信息主要来自于LDP、BGP或RSVP(也可以是它们的组合)。
RSVP:Resource Reservation Protocol 资源预留协议
SLA:Service Level Agreement 服务等级协定
CE:Custom Edge
PE:Provider Edge
CPE:Custom Premise Equipment
通常情况下,CE路由器都会配置一条到达PE路由器的帧中继本地环路,帧中继连接在PE处被终结,CE与PE之间为3层交换,帧中继在这里仅起2层传输的作用。入口PE与出口PE之间的整个路径被称为LSP。
标签的结构:
20 bit 标签
3 bit 实验CoS
1 bit 栈底指示符
8 bit TTL
MPLS标签示意: 
1.jpg (9.28 KB)
2009-8-5 13:23
MPLS标签被插在2层和3层帧头部之间。
标签字段取值范围0~1048575,0~15保留。
栈底指示符S用在需要为某个数据包使用多个标签时的情况,取值0或1,1代表该标签为最后一个标签。如果为0说明前面还有其他标签。
标签栈机制有点类似GRE隧道在承载IP流时在IP中进行的IP封装。
标签常见的应用有:MPLS VPN,MPLS TE,MPLS VPN with MPLS TE。
MPLS VPN——利用MP-BGP(Multiprotocol BGP)来传递附加在数据包上用于标识特定VPN的第二个标签的相关标签信息。第二个标签与第一个MPLS标签被同时打在数据包上。
MPLS TE——MPLS Traffic Engineering使用RSVP来建立LSP隧道,由RSVP负责传递用来标识LSP隧道的标签的相关标签信息。这类标签位于标签栈中原始MPLS标签的顶部。
MPLS VPN with MPLS TE——需要在帧上附加3个或多个标签,包括原始MPLS标签、VPN标签和LSP标签。
标签栈示意: 
2.jpg (10.49 KB)
2009-8-5 13:23
帧头部中的PID(Protocol Identifier)用来标识所用的3层协议,MPLS会改变PID。如由0×0800(IP)变为0×8847(MPLS-IP)。
标签的处理过程总是基于栈顶标签,可以认为标签栈具有一定的深度。
分两种MPLS模式:frame mode , cell mode(ATM)
Frame Mode MPLS:帧模式MPLS表示的是在以太网封装或其他基于帧封装的接口上使用的MPLS,但不包括ATM接口。由于ATM缺乏灵活的成帧结构,因而ATM使用的是信元模式MPLS,并有一些特殊的要求。
当PE路由器收到数据包后,它需要做出转发决定。如果出接口是启用了MPLS的接口,那么路由器就必须给该数据包打上标签,并以相应的2层成帧结构封装该数据包。同时,路由器还要更改帧头中的EtherType字段,以指定正确的3层协议,之后,路由器就将该数据包转发到路由表中规定的下一跳地址。
如果接收到数据包的路由器是位于网络核心的LSR,那么其工作就是简单地处理数据包的入站和出栈标签。非PE路由器无需处理任何路由选择问题,这是因为FIB已经建立,而且目的地已经存在于相应的FIB中了。
LSR必须能同时工作于控制平面和数据平面,虽然每台LSR都保持着一个完整的收敛后的路由表,但它们并不参与常规的路由选择操作。LSR维护路由表的作用仅仅是为了确保FIB随时保持在最新状态,从而确保能正确地分配标签,并正确地处理数据包。
标签的分发工作由标签分发协议(如LDP)来完成,LDP在数据平面内发布LFIB,以维护标签交换信息。
边缘LSR不仅要转发数据包,而且还要增加或移除标签,但这不是说在任何情况下PE路由器都需要这么做,边缘LSR在确定转发行为时可能存在多种情况:
1.基于目的IP地址来转发所接收到的标准IP包,此时出站接口未启用MPLS;
2.基于目的IP地址来转发所接收到的带有MPLS标签的数据包,此时出站接口启用了MPLS;
3.完全基于标签来转发所接收到的数据包,此时需要检查入站标签,并根据LFIB来交换标签,从而将数据包正确地转发到下一跳MPLS节点;
4.虽然基于标签来转发所接收到的数据包,但由于LFIB显示该边缘LSR为出站MPLS边缘设备,因而需要弹出标签,并进行传统的路由选择操作。
如果接收到的数据包被丢弃,那么就表示无对应的LFIB表项,即使路由表中存在该目的地。与此类似,如果路由表中没有所接收到的数据包的路由表项,那么即使LFIB中存在该目的地的表项,该数据包仍然将被丢弃。
LIB、LFIB和FIB,它们既相互关联,又相互独立。
MPLS需要依赖底层的路由协议来收集构建LFIB所需的信息,从本质上来说,LFIB是一个标签路由表。虽然标签是通过分发协议来共享的,但标签信息却是基于IP路由表信息来建立的。如果IP网出现路由收敛问题或其他不稳定情况,MPLS网络也将受到相似的影响。
一旦构建完路由表且路由收敛过程也完成,那么每台LSR都要为路由表中的每个目的地分配标签,这些标签都只在本地有意义,并被存储在LIB中。接着,LSR会向其邻接对等体宣告其已分配的标签情况,之后,其邻接对等体将下一跳标签信息与网络目的地关联在一起,这些信息都存储在FIB中。每台LSR都根据接收到的标签信息构建自己的LIB、LFIB和FIB。
LIB是控制平面的一部分,为LDP进行标签分发提供相应的数据库。在数据库中,IP前缀与其从下游对等体学到的本地标签和下一跳标签关联在一起,LIB就负责维护IP前缀与已分配的标签和正在分配的标签之间的映射关系。
LFIB是数据平面的一部分,为转发带标签的数据包提供相应的数据库。IGP被用来在整个网络中的所有MPLS路由器之间传播路由表信息,路由器基于IGP路由更新中所共享的信息,就可以确定去往每个网络目的地度量值最佳的路径。
FIB也是数据平面的一部分,为转发不带标签的IP包提供相应的数据库。从本质上来说,FIB与IP路由表相同,如果到达下一跳目的地需要经过一个不支持MPLS的输出接口,那么就需要用到FIB信息,而忽略了LIB和LFIB信息。
标签交换和传统的路由选择非常相似,两者最大的区别在于标签交换和标签分发无需分析网络层信息。
标签分发的基本方式有两种:下游自主标签分发方式,下游按需标签分发方式。
入站数据包的转发方式多种多样,包括有标签转发方式和无标签转发方式。
有标签的输入数据包通过LFIB进行转发,并且以有标签数据包的形式发送出去。无论是否实现了PHP机制,远端边缘LSR都会将标签弹出。边缘LSR可以为无标签数据包打上标签并转发出去,但是当网络处于收敛期或导致目的地信息不完整的状态下会出现例外,此时将采取临时包传播方式。
临时包传播:当数据包到达特定LSR时,如果该LSR知道所需FEC相关联的标签可以将数据包转发出去时,就会利用存储在FIB中的信息转发该数据包,该数据包也就理所当然地被转发到FIB所列出的下一跳路由器。收到该数据包的下游路由器会进行查找以确认是否有标签与所需的FEC相关联。如果有,该接收数据包的下游路由器就会给数据包更换标签并按照标签规定的方式转发该数据包;如果没有,将重复该过程。有理由相信(虽然不太可能)网络中沿途的路由器可能都采取CEF交换方式。该功能的起因是允许网络处于收敛期或其他导致MPLS路由器中无特定FEC的标签时,可以继续转发数据包。
PHP是一种相对简单的提高效率的功能特性。对出口边缘LSR来说,需要在入站带标签的数据包上执行查找操作,如果目的网络是一个直连网络(即此路由器为最后一跳),那么就没有为该目的地定义标签,此时就需要弹出标签,并发起FIB表查找过程,因而这种两次查找操作的效率较低。PHP机制允许边缘LSR前的那个LSR(倒数第二跳)就将标签弹出,因而称为倒数第二跳弹出(Penultimate HopPopping)。
TDP: 1~15 label are reversed. label 3 is a null/pop label.
LDP: 1~9 label are reversed. label 1 is a null/pop label.
当下游路由器意识到它自己是LSP中的倒数第二个节点时,就可以向上游路由器分发标签值3。当上游路由器看见标签值为3时就会移除标签并按照正常方式转发数据包,上游路由器中的LIB将会视为imp-null(不会显示为3)。
TDP:Tag Distribution Protocol
LDP
abel Distribution Protocol
接口上启用MPLS的三个步骤:
1.配置CEF——启用MPLS的前提条件是首先启用CEF。
2.在帧模式接口上配置MPLS——MPLS骨干接口必须启用MPLS。
3.根据需要配置MTU大小——为了防止帧的MTU超过接口的允许大小,应手工调整MPLS接口的MTU值。
CEF是一种高级的3层交换技术,优化了大规模、动态流量模型网络的性能和稳定性。与进程交换或快速交换相比,CEF交换对CPU的占用要少得多。CEF可以运行于集中模式或分布模式。FIB和邻接表为CEF提供了运行库,CEF利用FIB来确定IP目的地的交换方式,邻接表提供了一个2层信息库,包括2层下一跳信息。CEF利用邻接表来确定输出流量的2层信息,从而无需运行ARP或其他2层/3层解析进程。
常用命令:
为了在路由器上启用MPLS,需要在全局模式下使用命令mpls ip,之后再在运行MPLS的接口上重复该命令。
SW(config)#mpls ip
SW(config-if)#mpls ip
SW(config-if)#tag-switching ip (老式命令,使用之后在show run中会显示为mpls ip)
SW(config-if)#mpls label protocol ?
both Use LDP or TDP (Adapt to peer on multiaccess interface)
ldp Use LDP (default)
tdp Use TDP
配置MPLS必须要启用CEF。
SW(config)#ip cef (全局启用CEF)
SW(config)#ip cef distributed (启用dCEF)
SW(config-if)#ip route-cache cef (在特定接口上启用CEF)
SW#show ip cef
SW#show ip cef detail
SW#clear adjanceny
SW#clear ip cef inconsistency
SW#clear cef interface
SW#debug ip cef
SW#debug ip cef events
CEF配置中还提供了以下可选功能:
CEF负载均衡——可以实现基于目的地或基于数据包的负载均衡。
CEF网络计费——可以收集各种流量统计信息。
CEF分布式隧道交换——该功能随CEF自动启动且不可配置,可以实现GRE等隧道的交换功能。
建议在非MPLS接口上应用访问控制列表,以阻塞TDP或/和LDP流量。TDP使用TCP端口711,LDP使用UDP端口646,这样做的目的是加强说明该接口不属于MPLS架构范围。
当数据包仅有一个标签,那么MTU为1504字节就可以了。当部署MPLS-TE或MPLS-VPN时,就需要再增大MTU大小,在同时配置MPLS-TE和MPLS-VPN的情况下(MPLS-VPN with MPLS-TE),MTU应该为1512字节。
配置MTU大小:
SW(config-if)#mpls mtu ?
<64-65535> MTU (bytes)
SW#show mpls ldp neighbor
SW#debug mpls ldp bindings
华赛防火墙 USG2000 IPSEC VPN配置过程
1: [FWA]dis cur
2: 20:05:24 2009/10/28
3: #
4: acl number 3000
5: rule 0 permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255
6: acl number 3001
7: rule 0 permit ip source 10.0.1.0 0.0.0.255
8: #
9: sysname FWA
10: #
11: web-manager enable
12: #
13: info-center timestamp debugging date
14: #
15: firewall packet-filter default permit interzone local trust direction inbound
16: firewall packet-filter default permit interzone local trust direction outbound
17: firewall packet-filter default permit interzone local untrust direction inbound
18: firewall packet-filter default permit interzone local untrust direction outbound
19: firewall packet-filter default permit interzone local dmz direction inbound
20: firewall packet-filter default permit interzone local dmz direction outbound
21: firewall packet-filter default permit interzone local vzone direction inbound
22: firewall packet-filter default permit interzone local vzone direction outbound
23: firewall packet-filter default permit interzone trust untrust direction inbound
24: firewall packet-filter default permit interzone trust untrust direction outbound
25: firewall packet-filter default permit interzone trust dmz direction inbound
26: firewall packet-filter default permit interzone trust dmz direction outbound
27: firewall packet-filter default permit interzone trust vzone direction inbound
28: firewall packet-filter default permit interzone trust vzone direction outbound
29: firewall packet-filter default permit interzone dmz untrust direction inbound
30: firewall packet-filter default permit interzone dmz untrust direction outbound
31: firewall packet-filter default permit interzone untrust vzone direction inbound
32: firewall packet-filter default permit interzone untrust vzone direction outbound
33: firewall packet-filter default permit interzone dmz vzone direction inbound
34: firewall packet-filter default permit interzone dmz vzone direction outbound
35: #
36: dhcp enable
37: #
38: firewall statistic system enable
39: #
40: ike proposal 10
41: #
42: ike peer a
43: pre-shared-key huawei
44: ike-proposal 10
45: remote-address 200.0.0.2
46: #
47: ipsec proposal tran1
48: #
49: ipsec policy map1 10 isakmp
50: security acl 3000
51: ike-peer a
52: proposal tran1
53: #
54: interface GigabitEthernet0/0/0
55: #
56: interface GigabitEthernet0/0/1
57: ip address 200.0.0.1 255.255.255.0
58: ipsec policy map1
59: #
60: interface NULL0
61: #
62: firewall zone local
63: set priority 100
64: #
65: firewall zone trust
66: set priority 85
67: add interface GigabitEthernet0/0/0
68: add interface Wifi1/0/0
69: #
70: firewall zone untrust
71: set priority 5
72: add interface GigabitEthernet0/0/1
73: #
74: firewall zone dmz
75: set priority 50
76: #
77: firewall zone vzone
78: set priority 0
79: #
80: firewall interzone trust untrust
81: packet-filter 3001 inbound
82: packet-filter 3000 outbound
83: #
84: interface Wifi1/0/0
85: ip address 10.0.0.1 255.255.255.0
86: undo shutdown
87: ssid gateway
88: broadcast-ssid enable
89: undo ap-isolate enable
90: country-zone-code US
91: mode 1
92: channel 11
93: rate 0
94: undo auth-shared wep current-network-key
95: undo auth-shared wep network-key 1
96: undo auth-shared wep network-key 2
97: undo auth-shared wep network-key 3
98: undo auth-shared wep network-key 4
99: auth-open none
100: mac-filter disabled
101: #
102: aaa
103: local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!
104: local-user admin service-type web telnet
105: local-user admin level 3
106: authentication-scheme default
107: #
108: authorization-scheme default
109: #
110: accounting-scheme default
111: #
112: domain default
113: #
114: #
115: right-manager server-group
116: #
117: slb
118: #
119: ip route-static 0.0.0.0 0.0.0.0 200.0.0.2
120: #
121: user-interface con 0
122: user-interface vty 0 4
123: authentication-mode aaa
124: user privilege level 3
125: #
126: return
127:
FWB
1: [FWB]dis cur
2: 20:38:11 2009/10/28
3: #
4: acl number 3000
5: description Ipsec ACL
6: rule 0 permit ip source 10.0.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
7: acl number 3001
8: rule 0 permit ip source 10.0.0.0 0.0.0.255
9: #
10: sysname FWB
11: #
12: l2tp enable
13: #
14: info-center timestamp debugging date
15: #
16: firewall packet-filter default permit interzone local trust direction inbound
17: firewall packet-filter default permit interzone local trust direction outbound
18: firewall packet-filter default permit interzone local untrust direction inbound
19: firewall packet-filter default permit interzone local untrust direction outbound
20: firewall packet-filter default permit interzone local dmz direction inbound
21: firewall packet-filter default permit interzone local dmz direction outbound
22: firewall packet-filter default permit interzone trust untrust direction inbound
23: firewall packet-filter default permit interzone trust untrust direction outbound
24: firewall packet-filter default permit interzone trust dmz direction inbound
25: firewall packet-filter default permit interzone trust dmz direction outbound
26: firewall packet-filter default permit interzone dmz untrust direction inbound
27: firewall packet-filter default permit interzone dmz untrust direction outbound
28: #
29: nat address-group 1 1.1.1.1 1.1.1.10
30: #
31: firewall statistic system enable
32: #
33: vlan 1
34: #
35: ike proposal 10
36: #
37: ike peer a
38: pre-shared-key huawei
39: ike-proposal 10
40: remote-address 200.0.0.1
41: #
42: ipsec proposal tran1
43: #
44: ipsec policy map1 10 isakmp
45: security acl 3000
46: ike-peer a
47: proposal tran1
48: #
49: interface Ethernet1/0/0
50: port link-type access
51: #
52: interface Ethernet1/0/1
53: port link-type access
54: #
55: interface Ethernet1/0/2
56: port link-type access
57: #
58: interface Ethernet1/0/3
59: port link-type access
60: #
61: interface Ethernet1/0/4
62: port link-type access
63: #
64: interface Virtual-Template1
65: ppp authentication-mode pap
66: ip address 172.16.0.1 255.255.255.0
67: remote address pool 2
68: #
69: interface GigabitEthernet0/0/0
70: ip address 10.0.1.1 255.255.255.0
71: #
72: interface GigabitEthernet0/0/1
73: ip address 200.0.0.2 255.255.255.0
74: ipsec policy map1
75: #
76: interface NULL0
77: #
78: firewall zone local
79: set priority 100
80: #
81: firewall zone trust
82: set priority 85
83: add interface GigabitEthernet0/0/0
84: #
85: firewall zone untrust
86: set priority 5
87: add interface GigabitEthernet0/0/1
88: add interface Virtual-Template1
89: #
90: firewall zone dmz
91: set priority 50
92: #
93: firewall zone vzone
94: set priority 0
95: #
96: l2tp-group 1
97: undo tunnel authentication
98: allow l2tp virtual-template 1
99: tunnel name LNS
100: #
101: aaa
102: local-user 111 password simple admin@123
103: local-user 111 service-type telnet
104: local-user 111 level 3
105: local-user vpn password simple admin@123
106: local-user vpn service-type ppp
107: ip pool 2 172.16.0.2 172.16.0.250
108: #
109: authentication-scheme default
110: authentication-scheme none
111: #
112: authorization-scheme default
113: #
114: accounting-scheme default
115: #
116: domain default
117: #
118: #
119: right-manager server-group
120: #
121: slb
122: #
123: ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
124: #
125: user-interface con 0
126: user-interface vty 0 4
127: authentication-mode none
128: #
129: return
130: [FWB]
131:
防火墙IPSEC display
1: [FWB]dis ike peer
2: 20:09:10 2009/10/28
3:
4: ---------------------------
5: IKE Peer: a
6: version: v1v2
7: exchange mode: main on phase 1
8: pre-shared-key: huawei
9: local certificate file name:
10: peer certificate file name:
11: proposal: 10
12: local id type: ip
13: peer ip address: 200.0.0.1
14: vpn:
15: authentic ip address:
16: ip pool:
17: peer name:
18: sa binding vpn:
19: nat traversal: disable
20: ---------------------------
21:
22:
23: [FWB]dis ike proposal
24: 20:09:39 2009/10/28
25: priority authentication authentication encryption Diffie-Hellman duration
26: method algorithm algorithm group (seconds)
27: ---------------------------------------------------------------------------
28: 10 PRE_SHARED SHA DES_CBC MODP_768 86400
29: default PRE_SHARED SHA DES_CBC MODP_768 86400
30:
31:
32:
33:
34: [FWB]dis ike sa
35: 20:09:53 2009/10/28
36: current ike sa number: 2
37: ---------------------------------------------------------------------
38: connection-id peer vpn flag phase doi
39: ---------------------------------------------------------------------
40: 0x5 200.0.0.1 0 RD v2:2 IPSEC
41: 0x4 200.0.0.1 0 RD v2:1 IPSEC
42:
dis ipsec
1: [FWB]dis ipsec sa brief
2: 20:08:20 2009/10/28
3: current ipsec sa number: 2
4: current ipsec tunnel number:1
5: -------------------------------------------------------------------
6: Src Address Dst Address SPI VPN Protocol Algorithm
7: -------------------------------------------------------------------
8: 200.0.0.2 200.0.0.1 86912894 0 ESP E:DES;A:HMAC-MD5-96;
9: 200.0.0.1 200.0.0.2 6280938 0 ESP E:DES;A:HMAC-MD5-96;
10:
11:
12: [FWB]dis ipsec sa
13: 20:11:29 2009/10/28
14:
15: -----------------------------
16: IPsec policy name: "map1"
17: sequence number: 10
18: mode: isakmp
19: vpn: 0
20: -----------------------------
21: connection id: 5
22: rule number: 0
23: encapsulation mode: tunnel
24: tunnel local : 200.0.0.2 tunnel remote: 200.0.0.1
25: flow source: 10.0.1.0-10.0.1.255 0-65535 0
26: flow destination: 10.0.0.0-10.0.0.255 0-65535 0
27:
28: [inbound ESP SAs]
29: spi: 6280938 (0x5fd6ea)
30: vpn: 0 said: 0 cpuid: 0x0000
31: proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
32: sa remaining key duration (bytes/sec): 1887413004/3205
33: max received sequence-number: 395
34: udp encapsulation used for nat traversal: N
35:
36: [outbound ESP SAs]
37: spi: 86912894 (0x52e2f7e)
38: vpn: 0 said: 1 cpuid: 0x0000
39: proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
40: sa remaining key duration (bytes/sec): 1887392464/3205
41: max sent sequence-number: 396
42: udp encapsulation used for nat traversal: N
43:
44:
45:
46: [FWB]dis ipsec policy
47: 20:08:31 2009/10/28
48:
49: ===========================================
50: IPsec Policy Group: "map1"
51: Using interface: {GigabitEthernet0/0/1}
52: ===========================================
53:
54: -----------------------------
55: IPsec policy name: "map1"
56: sequence number: 10
57: mode: isakmp
58: -----------------------------
59: security data flow : 3000
60: ike-peer name: a
61: perfect forward secrecy: None
62: proposal name: tran1
63: IPsec sa local duration(time based): 3600 seconds
64: IPsec sa local duration(traffic based): 1843200 kilobytes
65: [FWB]
66:
67:
68: [FWB]dis ipse proposal
69: 20:10:49 2009/10/28
70:
71: IPsec proposal name: tran1
72: encapsulation mode: tunnel
73: transform: esp-new
74: ESP protocol: authentication md5-hmac-96, encryption des
75: applied to policy: map1-10-isakmp
76:
77:
78: [FWB]dis ipsec statistics
79: 20:11:05 2009/10/28
80: the security packet statistics:
81: input/output security packets: 371/371
82: input/output security bytes: 28292/34228
83: input/output dropped security packets: 0/0
84: dropped security packet detail:
85: no enough memory: 0
86: can't find SA: 0
87: queue is full: 0
88: authentication is failed: 0
89: wrong length: 0
90: replay packet: 0
91: too long packet: 0
92: wrong SA: 0
93: [FWB]dis ipsec statistics
94: 20:11:10 2009/10/28
95: the security packet statistics:
96: input/output security packets: 376/376
97: input/output security bytes: 28672/34688
98: input/output dropped security packets: 0/0
99: dropped security packet detail:
100: no enough memory: 0
101: can't find SA: 0
102: queue is full: 0
103: authentication is failed: 0
104: wrong length: 0
105: replay packet: 0
106: too long packet: 0
107: wrong SA: 0
108: [FWB]
109:
华赛防火墙(1)
华赛防火墙:USG2000系列
配置Wifi
interface wifi0
rate 0 带宽
mode 可选模式(a/b/g/)
channel 0 频道
ssid ssid-name 配置SSID
brodcase-ssid enable 启用SSID广播
auth-open (打开验证)
ap-isolate(可开启ap隔离)
NAT配置要点。
1.ACL
2.pack-filter
3.nat
4.可选address-group
配置3G拨号上网要点: 拨号验证必须配置到dialer接口上面。
1.全局启用dialer-rule number ip permit
2.进入拨号接口(逻辑 )。
3.启用DCC
4.启用一个dialer-group
5.配置拨号参数 dialer number #777
6.配置IP地址。DNS 的PPP定义
进入物理接口(3G网卡端口)
7.配置PPP参数。username password
8.启用DCC
9.绑定dialer group.
10.
主要配置均在dialer上面配置
利用SLA监控静态路由非直连DOWN
大家都知道如果你的静态路由的下一跳DOWN掉,静态路由会在路由表消失。但是如果非直连DOWN,一般还会存在在你的本地路由表。
但是我使用SLA可做到检测非直连DOWN
R1——————————R2————————-R3
12.1.1.1 1.2 23.1.1.2 1.3
ip sla monitor 123
type echo protocol ipIcmpEcho 23.1.1.3 source-ipaddr 12.1.1.1
frequency 10
ip sla monitor schedule 123 life forever start-time now
track 1 rtr 123 reachability
ip route 23.1.1.0 255.255.255.0 12.1.1.2 track 1
ip route 23.1.1.0 255.255.255.0 12.1.1.2
把R3的接口DOWN掉,在R1show ip route 测试
原文由:kinglab发帖,经修改后发帖!
【转】JUNOS8.5+JWEB8.5虚拟机[117M]组播固化-VLAN-逻辑路由器
Address Interface State ID Pri Dead
10.0.4.6 em1.12 Full 10.0.6.2 128 37
10.0.4.13 em1.13 Full 10.0.3.3 128 34
Address Interface State ID Pri Dead
10.0.2.2 em5.53 Full 10.0.3.3 128 34
10.0.2.10 em5.54 Full 10.0.3.4 128 33
10.0.8.5 em5.56 Full 10.0.9.6 128 31
10.0.8.10 em5.57 Full 10.0.9.7 128 34
+ = Active Route, – = Last Active, * = Both
> to 10.0.4.13 via em1.13
10.0.2.4/30 *[OSPF/10] 00:02:51, metric 2
> to 10.0.4.13 via em1.13
10.0.2.8/30 *[OSPF/10] 00:02:51, metric 3
> to 10.0.4.6 via em1.12
to 10.0.4.13 via em1.13
10.0.3.3/32 *[OSPF/10] 00:02:51, metric 1
> to 10.0.4.13 via em1.13
10.0.3.4/32 *[OSPF/10] 00:02:51, metric 2
to 10.0.4.6 via em1.12
> to 10.0.4.13 via em1.13
10.0.3.5/32 *[OSPF/10] 00:02:51, metric 2
> to 10.0.4.13 via em1.13
10.0.4.0/30 *[OSPF/10] 00:02:51, metric 2
to 10.0.4.6 via em1.12
> to 10.0.4.13 via em1.13
10.0.4.4/30 *[Direct/0] 00:03:56
> via em1.12
10.0.4.5/32 *[Local/0] 00:03:56
Local via em1.12
10.0.4.8/30 *[OSPF/10] 00:03:06, metric 2
> to 10.0.4.6 via em1.12
10.0.4.12/30 *[Direct/0] 00:03:56
> via em1.13
10.0.4.14/32 *[Local/0] 00:03:56
Local via em1.13
10.0.6.1/32 *[Direct/0] 00:03:56
> via lo0.1
10.0.6.2/32 *[OSPF/10] 00:03:06, metric 1
> to 10.0.4.6 via em1.12
10.0.8.0/30 *[OSPF/10] 00:02:51, metric 4
> to 10.0.4.13 via em1.13
10.0.8.4/30 *[OSPF/10] 00:02:51, metric 3
> to 10.0.4.13 via em1.13
10.0.8.8/30 *[OSPF/10] 00:02:51, metric 3
> to 10.0.4.13 via em1.13
10.0.9.6/32 *[OSPF/10] 00:02:51, metric 3
> to 10.0.4.13 via em1.13
10.0.9.7/32 *[OSPF/10] 00:02:51, metric 3
> to 10.0.4.13 via em1.13
224.0.0.5/32 *[OSPF/10] 00:03:56, metric 1
MultiRecv
## Last commit: 2008-10-10 17:44:21 UTC by root
version 8.5R1.14;
system {
backup-router 192.168.1.1;
root-authentication {
encrypted-password “$1$Mvxox7d8$UVmJd7OLkwbIJ/B7Kbavz0″; ## SECRET-DATA
}
login {
user mengmeng {
uid 2001;
class super-user;
authentication {
encrypted-password “$1$GAAB2nYd$v.aOFalSpMh5rbiWG/f1a.”; ## SECRET-DATA
}
}
}
services {
ftp;
telnet;
web-management {
http {
port 80;
}
}
}
}
logical-routers {
r1 {
interfaces {
em1 {
unit 12 {
vlan-id 12;
family inet {
address 10.0.4.5/30;
}
}
unit 13 {
vlan-id 13;
family inet {
address 10.0.4.14/30;
}
}
}
lo0 {
unit 1 {
family inet {
address 10.0.6.1/32;
}
}
}
}
protocols {
ospf {
area 0.0.0.10 {
interface em1.12;
interface em1.13;
interface lo0.1;
}
}
}
}
r2 {
interfaces {
em2 {
unit 21 {
vlan-id 12;
family inet {
address 10.0.4.6/30;
}
}
unit 23 {
vlan-id 23;
family inet {
address 10.0.4.2/30;
}
}
unit 24 {
vlan-id 24;
family inet {
address 10.0.4.10/30;
}
}
}
lo0 {
unit 2 {
family inet {
address 10.0.6.2/32;
}
}
}
}
protocols {
ospf {
area 0.0.0.10 {
interface em2.21;
interface em2.23;
interface em2.24;
interface lo0.2;
}
}
}
}
r3 {
interfaces {
em3 {
unit 31 {
vlan-id 13;
family inet {
address 10.0.4.13/30;
}
}
unit 32 {
vlan-id 23;
family inet {
address 10.0.4.1/30;
}
}
unit 34 {
vlan-id 34;
family inet {
address 10.0.2.5/30;
}
}
unit 35 {
vlan-id 35;
family inet {
address 10.0.2.2/30;
}
}
}
lo0 {
unit 3 {
family inet {
address 10.0.3.3/32;
}
}
}
}
protocols {
ospf {
area 0.0.0.10 {
interface em3.31;
interface em3.32;
}
area 0.0.0.0 {
interface em3.34;
interface em3.35;
interface lo0.3;
}
}
}
}
r4 {
interfaces {
em4 {
unit 42 {
vlan-id 24;
family inet {
address 10.0.4.9/30;
}
}
unit 43 {
vlan-id 34;
family inet {
address 10.0.2.6/30;
}
}
unit 45 {
vlan-id 45;
family inet {
address 10.0.2.10/30;
}
}
}
lo0 {
unit 4 {
family inet {
address 10.0.3.4/32;
}
}
}
}
protocols {
ospf {
area 0.0.0.10 {
interface em4.42;
}
area 0.0.0.0 {
interface em4.43;
interface em4.45;
interface lo0.4;
}
}
}
}
r5 {
interfaces {
em5 {
unit 53 {
vlan-id 35;
family inet {
address 10.0.2.1/30;
}
}
unit 54 {
vlan-id 45;
family inet {
address 10.0.2.9/30;
}
}
unit 56 {
vlan-id 56;
family inet {
address 10.0.8.6/30;
}
}
unit 57 {
vlan-id 57;
family inet {
address 10.0.8.9/30;
}
}
}
lo0 {
unit 5 {
family inet {
address 10.0.3.5/32;
}
}
}
}
protocols {
ospf {
area 0.0.0.0 {
interface em5.53;
interface em5.54;
interface lo0.5;
}
area 0.0.0.1 {
interface em5.56;
interface em5.57;
}
}
}
}
r6 {
interfaces {
em6 {
unit 65 {
vlan-id 56;
family inet {
address 10.0.8.5/30;
}
}
unit 67 {
vlan-id 67;
family inet {
address 10.0.8.1/30;
}
}
}
lo0 {
unit 6 {
family inet {
address 10.0.9.6/32;
}
}
}
}
protocols {
ospf {
area 0.0.0.1 {
interface em6.65;
interface em6.67;
interface lo0.6;
}
}
}
}
r7 {
interfaces {
em7 {
unit 75 {
vlan-id 57;
family inet {
address 10.0.8.10/30;
}
}
unit 76 {
vlan-id 67;
family inet {
address 10.0.8.2/30;
}
}
}
lo0 {
unit 7 {
family inet {
address 10.0.9.7/32;
}
}
}
}
protocols {
ospf {
area 0.0.0.1 {
interface em7.75;
interface em7.76;
interface lo0.7;
}
}
}
}
}
interfaces {
em0 {
unit 0 {
family inet {
address 192.168.1.254/24;
}
}
}
em1 {
vlan-tagging;
}
em2 {
vlan-tagging;
}
em3 {
vlan-tagging;
}
em4 {
vlan-tagging;
}
em5 {
vlan-tagging;
}
em6 {
vlan-tagging;
}
em7 {
vlan-tagging;
}
}
routing-options {
static {
route 0.0.0.0/0 {
next-hop 192.168.1.1;
retain;
no-readvertise;
}
}
}
精品思科IOS全套下载7.8G
IOS来自于互联网 版权属于CISCO 请不要作为商业用途,否则后果自负!!!
Google sites地址:http://google.ghitr.com/cisco/jing-pin-si-keios-quan-tao-xia-zai7-8g
[ad#ad_article_1]
│ │ │ c1600-sy-l_112-17_P.bin 4.02 MB
│ │ │ c1700-bk9no3r2sy7-mz.123-7.XR.bin 13.43 MB
│ │ │ c1700-ipvoice-mz.123-12.bin 11.88 MB
│ │ │ c1700-k9o3sy7-mz.123-10.bin 9.32 MB
│ │ │ c1700-k9o3sy7-mz.123-11.t.bin 12.64 MB
│ │ │ c1700-k9o3sy7-mz.123-7.T.bin 11.18 MB
│ │ │ c1700-sv3y-mz.122-4.YB.bin 7.53 MB
│ │ │ c1700-sy7-mz.123-9.bin 7.93 MB
│ │ │ c1700-y-mz.123-12.bin 5.61 MB
│ │ │ c2500-c-l.122-13.T.bin 9.44 MB
│ │ │ c2500-i-l.121-2.T.bin 7.62 MB
│ │ │ c2500-is-l.122-8.T.bin 13.22 MB
│ │ │ c2500-jos56i-l.121-18.bin 15.61 MB
│ │ │ c2600-i-mz.122-8.T5.bin 5.58 MB
│ │ │ c2600-is-mz.122-2.XT.bin 12.14 MB
│ │ │ c2600-jk9s-mz.122-12a.bin 12.07 MB
│ │ │ c2600-js-mz_121-5_T.bin 10.89 MB
│ │ │ c2600-jsx-mz.122-8.T.bin 7.06 MB
│ │ │ c2600-p-mz.991126 6.42 MB
│ │ │ c2950-i6q4l2-mz.121-6.EA2c.bin 2.15 MB
│ │ │ c3500xl-c3h2s-tar.120-5.WC13.tar 2.80 MB
│ │ │ c3550-i5k2l2q3-tar.121-11.EA1.zip 5.31 MB
│ │ │ c3550-i5q3l2-tar.121-12c.EA1.zip 5.30 MB
│ │ │ c3550-i5q3l2-tar.121-8.EA1c.bin 4.88 MB
│ │ │ c3550-ipservicesk9-tar.122-25.SEC2.tar 8.19 MB
│ │ │ c3550-ipservicesk9-tar.122-25.SEE2.tar 8.62 MB
│ │ │ c3620-is-mz_121-5_T.bin 10.19 MB
│ │ │ c3640-i-mz.120-7.T.bin 4.49 MB
│ │ │ c3640-ik8s-mz.122-15.t11.bin 17.60 MB
│ │ │ c3640-ik9o3s-mz.122-8.T10.bin 14.76 MB
│ │ │ c3640-is-mz.120-7.T.bin 7.76 MB
│ │ │ c3640-is-mz.123-8.T_96_32_Plus.bin 21.31 MB
│ │ │ c3640-js-mz.122-8.T.bin 15.22 MB
│ │ │ C3640-Jsx-Mz 123-6.bin 17.82 MB
│ │ │ c3660-jo3s56i-mz.120-7.XK2.bin 10.79 MB
│ │ │ c3660.rar 13.34 MB
│ │ │ c3750-advipservicesk9-tar.122-25.SEE.tar 9.77 MB
│ │ │ c5300-i-mz.120-5.T1.bin 4.28 MB
│ │ │ c5300-is-mz.120-7.T.bin..bin 6.70 MB
│ │ │ c5300-jk9s-mz.122-2.XB3.bin 11.55 MB
│ │ │ c5350-jk8s-mz.122-11.T.bin 14.10 MB
│ │ │ c5350-js-mz.122-15.T1.bin 14.49 MB
│ │ │ c7200-is-mz.19991126 7.81 MB
│ │ │ c7200-js-mz.122-11.T.bin 15.71 MB
│ │ │ c7200-tipv6-mz.0519 3.04 MB
│ │ │ C800-K9osy6-Mw 123-3a.bin 1.63 MB
│ │ │ c800-k9osy6-mw.122-15.T12.bin 7.49 MB
│ │ │ Device_Manager.rar 10.19 MB
│ │ │ rsp-jsv-mz.122-12a.bin 16.43 MB
│ │ └─PIX (0 folders, 8 files, 14.63 MB, 14.63 MB in total.)
│ │ bh515.bin 270.00 KB
│ │ bh61.bin 216.00 KB
│ │ np63.bin 90.00 KB
│ │ np70.bin 126.00 KB
│ │ pix515.bin 1.63 MB
│ │ pix615.bin 2.48 MB
│ │ pix635.bin 2.00 MB
│ │ pix721.bin 7.82 MB
│ │ 。。。。。。
Série c1600
Série c1700
c1700-bk9no3r2sy7-mz.123-7.XR.bin
c1700-Advipservicesk9-Mz 123-7 T.bin
C1700-Advsecurityk9-Mz.123-15.bin
c1700-advsecurityk9-mz.123-9a.bin
c1700-bk9no3r2sv8y7-mz.123-4.XK2.bin
c1700-entbase-mz.123-14.T3.bin
c1700-ipvoice-mz.123-11.T5.bin
c1700-ipvoice-mz.123-7.XR3.bin
C1700-K9o3sv8y7-Mz 123-12a.bin
c1700-k9o3sv8y7-mz.123-11.T5.bin
c1700-k9o3sv8y7-mz.123-7.T6.bin
c1700-k9o3sy7-mz.123-9a1720.bin
c1700-spservicesk9-mz.123-11.T5.bin
c1700-spservicesk9-mz.123-15.bin
Série 1841
c1841-broadband-mz.123-11.T3.bin
Série 2500
Série 2600
c2600-io3s56i-mz_120-5_XK1.bin
C2600-Advsecurityk9-Mz.123-5a.bin
c2600-advsecurityk9-mz.123-12.bin
c2600-advipservicesk9-mz.123-4.T6.bin
Série c2900
c2900xl-c3h2s-tar.120-5.WC7.zip
Série c2950
c2950-i6q4l2-mz.121-6.EA2b.bin
c2950-i6q4l2-mz.121-6.EA2c.bin
c2950-i6q4l2-mz.121-9.EA1d.bin
c2950-i6q4l2-tar.121-12c.EA1.zip c2950-i6q4l2-tar.121-9.EA1.zip
Série c3550
c3550-i5k2l2q3-tar.121-11.EA1.zip
c3550-i5q3l2-tar.121-12c.EA1.zip
c3550-i5q3l2-tar.121-8.EA1c.bin
Série c3600-2600
c3600-2600-analog-fw.1.2.2.bin
Série c3620
Série 3631
c3631-telcoent-mz.123-2.T1.bin
Série c3640
c3640-is-mz.123-8.T_96_32_Plus.bin
Série c3660
c3660-jo3s56i-mz.120-7.XK1.bin
c3660-jo3s56i-mz.120-7.XK2.bin
Série 3725
Série c5300
Série c5350
Série c7200
c7200-is-mz.123-1a.bin c7200-is-mz.123-14.T1.bin
Série PIX 634
dynamips模拟器模块详细介绍
Google sites: http://google.ghitr.com/cisco/dynamips-mo-ni-qi-mo-kuai-xiang-xi-jie-shao
注意:保证你的IOS版本在12.2S以上,在模拟交换时候为了保证实验能成功.IOS版本在12.3以上
一:参数介绍
C7200
Slot 0:
C7200-IO-FE <——> 支持1个Fastethernet接口
C7200-IO-2FE <——> 支持2个 Fastethernet接口 (DynamipsGUI 2.3 里面没有这个选项,想用只有自己添加了)
C7200-IO-GE-E <——> 插这个卡以后会同时出现2个端口,Ethernet0/0和GigabitEthernet0/0 (反正我没有用到过这个卡)
注意:这三个卡只允许插在Slot0口,如果插入后面的slot口是无效的.
Slot 1-5:
PA-2FE-TX <——> 支持2个Fastethernet接口
PA-FE-TX <——> 支持1个Fastethernet接口
PA-4E <——> 支持4个Ethernet接口
PA-4T+ <——> 支持4个serial接口
PA-8E <——> 支持8个Ethernet接口
PA-8T <——> 支持8个serial接口
PA-A1 <——> 支持1个ATM port adapter接口
PA-GE <——> 支持1个GigabitEthernet接口
PA-POS-OC3 <——> 支持1个Packet Over SONET/SDH接口(用于更高速度的接口)
C3600(3620/3640/3660)
NM-16ESW <——> 支持16个Fastethernet接口(交换模块,在使用此模块做交换实验时候,请使用no ip routing 关闭端口路由)
NM-1E <——> 支持1个Ethernet接口
NM-1FE-TX <——> 支持1个Fastethernet接口
NM-4E <——> 支持4个Ethernet接口
NM-4T <——> 支持4个serial接口
Leopard-2FE <——>支持2个Fastethernet接口(3660专用,并且只能在slot 0 下使用)
注意:3620只能使用2个slot,3640可以使用4个slot,除Leopard-2FE模块做了限制,其他模块没有做限制插具体哪个slot.(DynamipsGUI里对slot已经做了限制,最近DynamipSeeV2.0已经发布了,但是里面不支持3660)
c3725/c3745/c2691
GT96100-FE <——>支持2个Fastethernet接口(只限制在slot 0)
NM-16ESW <——>支持16个Fastethernet接口(不做重复说明)
NM-1FE-TX <——>支持1个Fastethernet接口
NM-4T <——>支持4个serial接口
c2600(2610/2611/2620/2621/2610XM/2620XM/2650XM)
NM-16ESW <——> 支持16个Fastethernet接口
NM-1E <——> 支持1个Ethernet接口
NM-1FE-TX <——> 支持1个Fastethernet接口
NM-4E <——> 支持4个Ethernet接口
CISCO2600-MB-2E <——>支持2个Ethernet接口
CISCO2600-MB-2FE <——>支持2个Fastethernet接口
注>DynamipsGUI里的模块CISCO2600-MB-2E,CISCO2600-MB-2FE,并且只有2620类型可选
Dynamipsee里有2610/2611/2620/2621/2610XM/2620XM/2650XM类型选择.但没有2610/2611/2620/2621/2610XM/2620XM/2650XM
建议:找个小的IOS把2600模拟成主机用 C2600IOS
二:图形介绍
此模拟器可以自己选择加载IOS,能比较真实的再现硬件环境
首先我按图中序号对每个区域进行介绍:
①:此区域是选择交换机和路由器的个数(有点废话)
②:这个地方是选择设备类型,IOS路径,idle-p值NPE类型,虚拟(表示虚拟设备的RAM所占的内存大小,因为dynamips在模拟时候需要将主机的物理内存模拟成模拟设备的RAM)
③:此区域是配置分布式的dynamips的设置区域.这个区域暂时还用不到.④:这里可以选择一些不需要IOS的模拟设备。如:FrameRelay交换机ATM交换机,以太网交换机(现在已经有支持交换的模块NM-16ESW).由模拟器自己提这些功能.⑤:设备类型,选择你所需要模拟的设备,以上的设备为dynamips目前支持的类型,其他的都不支持.
⑥:这里可以设置连接到主机通信(下文详细介绍)
⑦:可以直接读取真实设备里的NVRAM里的配置文件(.ini格式)
⑧:输出目录(自己先建立).
根据上面这个拓扑来介绍,希望大家在弄懂基本东西以后,可以在举一反三吧.东西是活的,活学活用)
接下来,我从起始配置到最后开始实验在做逐步讲解.
1.首先选择根据上面这个拓扑图(建立在做实验的时候在草稿纸上画好拓扑图,注释好个端口设备的IP).我们来用dynamipsGUI来配置脚本文件(注意:现在的dynamipsGUI和dynamipsee都是可以视化的写dynamips的脚本程序.不是模拟器.有的初学者.总以为这两个程序是模拟器.真正的模拟器是dynamips).未安装的朋友请点下载好安装.点击桌面DynamipsGUI图标打开.
2.好了,打开以后,根据上面的图我们假设R1,R2,R3都使用3640,而R4使用7200.那么我们选择路由器个数为4,并选择桥接到PC.在⑤设备类型里钩选3640 和7200.如图:
3.在②设备配置区域里下拉选择7200,然后浏览选择你的IOS文件.(注意IOS在网上下载后,后缀名为BIN,大家需要将后缀名字改为RAR,然后在解压出来,这样在运行模拟设备时候就避免了再解压).接一下步是最让初学者感到困惑的地方.计算idle-pc值(idle-pc只为了解决在开启模拟设备时不至于你的CPU占有率达到100%,所以这个值对于能做好实验很重要).好.指定好IOS路径以后.我们点击计算idle-pc,确定IOS文件存在.之后在弹出窗口中按任意键继续.如图:
之后看到的就是设备的启动了(如同真实设备一样).然后在设备的用户模式下(Router#)下,先按组合键ctrl+] ,接着在单独按i键.记住不要三个键一起按.按完以后就是等待了.如图:
等待一会儿,出现下图:
看到下面出现一排值.这就是我们所需要的idle-pc值.那么这么多我们怎么选择呢?好!注意看count等于后面的数字.找到一个count最大值.然后记下前面的一串16进制数.例如上面这图.count=72,这个里面有两个72的值,我们同时记下这两个值.0×605c33fc 和0×605c345c.然后在回到dynamipsGUI界面.将0×605c33fc(或者0×605c345c)填入.(说一下这地方的原则:大家不要一味的相信最大值就是必须要选择的值.这要看情况而定.如果当你选择一个最大值,然后在后面开设备的时候却出现了CPU100%的情况,那么这个时候你就应该重新去计算idle-pc值,只到CPU占有率维持在一个正常值.我上面说的选取最大的count值是应该理解为从最大的count值开始去试.这样一直到找到一个合适的idle-pc值)
4.接下来是NPE类型这里 dynamipsGUI已经有默认值了.我们不需要在去设置它.而在虚拟内存这里dynamipsGUI作者也给出了各个类型模拟器的默认值.大家可以根据IOS的大小去更改.也要根据自己的物理内存而定.而后面的参数128 –disk0 4 ,128的意思是拿128MB的物理内存来作为虚拟设备的RAM, –disk0 4是dynamips的参数在说明文件中的解释为: –disk0 : Set PCMCIA ATA disk0: size.这是节省内存的参数.不过3600不支持这个参数.大家如果想深入研究可以读说明文档内容,如下:
The emulator currently supports the following platforms:
- Cisco 7200 (NPE-100 to NPE-400)
- Cisco 3600 (3620, 3640 and 3660)
- Cisco 2691
- Cisco 3725
- Cisco 3745
- Cisco 2600(2610/2611/2620/2621/2610XM/2620XM/2650XM)
To emulate another platform, use the “-P” command line option (for example,
“-P 3725″ or “-P 3600″).
For the 7200, you can change the NPE type with the “-t” option.
It is possible to select “npe-100″, “npe-150″, “npe-175″, “npe-200″,
“npe-225″, “npe-300″ and “npe-400″. The “npe-g1″ is not working.
For the 3600, a 3640 with 128 Mb is emulated by default. You can change this
with the “-t” option and by specifying “3620″ or “3660″.
Don’t forget to set the chassis type depending on your IOS image,
a c3660 image will not run on c3640 hardware and vice-versa.
Remark: PCMCIA card emulation is not supported yet with Cisco 3600.
还有一个要说明的,大家如果在以后碰到dynamipsGUI界面的虚拟碰到后面跟一个参数-X(注意为大写)比如96 –X 意思是不使用一个模拟的RAM文件,这样可以使用速度更快.原说明文档也有介绍:-X : Do not use a file to simulate RAM (faster)
我对新手的建议:关于NPE绾紊柚?大家在使用dynamipsGUI时就使用默认的.关于虚拟大小如何设置.主要还是根据你的IOS大小来定.dynamipsGUI也给了默认值.
5.接下来我要拿来单讲的就是这个寄存器的值了.很多人在做实验的时候都问,为什么copy run start以后.下次重新启动虚拟设备时.设置没有被保存.主要就是这个地方的设置问题了.学思科的人都清楚0×2142和0×2102了. 0×2142启动时是不从NVRAM读配置.而0×2102相反.因为dynamips默认是0×2142 所以我们需要在这个地方改为0×2102就可以了.然后在到虚拟的路由设备里面在show ver看看,你会发现寄存器的值0×2142(虽然我们这之前在dynamipsGUI已经配置过)但还是要重新在改一次寄存器的值才能最后的保存你的配置命令:config-register 0×2102
然后再配置在copy run start,再reload看看.你就会发现设置保存成功!
6.好的.上面已经把7200都配置好了.完了以后点寄存器下面的确定.3640也是一样(其它的设备也是如此配置)配置完后确定. OK!两个设备都配置完毕.接下来.哦还记得我上面的那个拓扑图吧。对,还有一个桥接到本地PC与我们自己的主机通信(我要说明一下.不一定非要桥接到PC.我这里是故意弄一个PC桥接,因为很多朋友这个地方搞不清楚).我们选择⑥区域里的下拉.选择NIC-O(dynamips可以支持多块网卡桥接),然后点击计算桥接参数.在弹出的界面里已经有很详细的说明.如图:
在这里我就不在重复了(免得说我罗嗦).只说一点.例如这张图中我们应该选择的是第三个网卡信息,即本地网卡信息而不应该选择第二个(是PPPOE拨号的).OK。如本图应该为: \Device\NPF_{36CC519A-AAF8-4C53-A9EC-7E0B88D917D6},记下网卡信息最好填到dynamipsGUI界面相应位置.好了.现在选择一个输出目录吧.下一步!! 6.这里就是确定设备名字和telnet端口还有各个slot模块信息.关于slot的模块可以参见我的帖子(下面我不在作模块介绍了):配置好每个设备点击确定配我也配置一下.首先是R4(7200)根据图中要求如图:
然后是3640 三个都是一样的
这里我解释一下界面下面的控制台输出(操作系统我不废话了,不会还有哪个连自己是什么系统不知道的),如果选择TCP输出则需要用telnet连接.推荐使用SecureCRT.如果是直接输出,就是不用telnet连接了,就是直接在窗口下输出CLI界面,就是”””(没办说清楚了,大家自己去用用看就知道了).完事!下一步。
7.根据拓扑连设备吧.我没什么好说的了.就是将拓扑图中各个相连的端口连起来(废话),我也连了一下.发个图.新手自己慢慢体会吧.呵呵(注:图中XPC就是主机)
最后完事点生成BAT文件.在到你的输出目录里去吧.生成的文件如图:
然后依次点R1.bat,R2,bat,R3,bat,R4.bat 意思是打开这四个模拟路由器!.
SecureCRT
然后就用SecureCRT连接了IP地址是:127.0.0.1 端口根据配置的console的值!
例如本教程中R1路由器端口设置的是2001 下面我们使用SecureCRT来登陆.
安装好SecureCRT 打开. 点在标签中建立连接
如下图:
点新会话看下图:
接着下图:
下一步如图:
接着在下一步就可以了,最后在连接就看到下图了:
采用最新的Dynamips-0.2.6-RC5的核心.
纠正了相关的BPDU的错误
加入了idlepc动态获取功能
集成了多个版本实验环境
安装目录可以任意选择,无需要固定在D盘
注:在网上很多发布所谓的超小内存版,其实就是使用较小的IOS软件某些功能不能够支持.而我们使用的是功能较全,IOS较小的,适中解决的办法.
具体使用请查看压缩包中的说明.doc文档文件
idlepc的新使用方法简介:
1.首先start R1
2.使用idlepc get R1命令获得idlepc值
3.待系统将idlepc计算完成并显示后,选择带有*号的值,此值为建议值
4.打开task manager(任务管理器)观察CPU的使用率
5.如果发现没有变化,使用idlepc show R1,重新选择,或使用idlepc get R1重计算
6.确定最佳的idlepc后,使用idlepc save R1 db保存此值.
7.其它的虚拟器只需要是相同的IOS的将自动采用此idlepc的值.
下载地址:
QUOTE:
ftp://www.edurainbow.com/Software/Dynamips/eduRainbow@Dynamips-0.2.6-RC5.rar
ftp://ciscoftp.njut.edu.cn/Software/Dynamips/eduRainbow@Dynamips-0.2.6-RC5.rar
ftp://ciscobbs.njut.edu.cn/Software/Dynamips/eduRainbow@Dynamips-0.2.6-RC5.rar
帐号:edurainbow
密码:cisco
.
.
.
.
.
*********************************************
Dynamips NPE类型取值
NPE = Network Processing Engine…..也就是说NPE就是7200的CPU…
其后的100,150,400代表路由器的主频…单位是MHZ…
所以NPE-400 就是主频为400MHZ的MIPS RISC CPU…….
补充一句….NPE也只有7200系列的才有….7500系列的我记得应该叫RSP才对……
为什么26,36没有NPE可选呢…因为这些低档机器的CPU已经焊到主板上了,换CPU的操作对我们这些初级工程师来说,难度太高了…….
模拟器UDP端口报错的解决方法
问题现象:
Reading configuration file…
*** Warning: Connecting R1 f0/0 to SW1 f1/5 resulted in:
206-unable to create UDP NIO
Error: lost communication with dynamips server localhost
It may have crashed. Check the dynamips server output.
Exiting…
Press ENTER to exit
问题原因
需要的UDP端口号已被其他程序占用(例如迅雷这个端口杀手,一开迅雷无数端口被占)
解决方法
请您打开net文件夹及其子文件夹,默认c:\program files\edurainbow\dynamips@edurainbow\net
用记事本打开net文件,将
[localhost]
port = 7200
udp = 10000
workingdir = ..\tmp\
中的
udp = 10000
修改为
udp = 11000
或其他未被使用的端口
注意,所有net文件都需要手工修改,CCIE-RS的net中包含3个localhost字段,均需修改成不同的端口号
稍后将编写自动修改程序,目前请您先手工修改
#########################################################
我的解决办法是:
关闭讯雷,然后打开CISCO模拟器程序,正常。
H3C S9500 RPR技术白皮书
google sites 地址:http://google.ghitr.com/network/h3c-s9500-rpr-ji-shu-bai-pi-shu
H3C S9500 RPR技术白皮书
关键词:RPR
摘 要:RPR技术是为了在城域网中支持大容量的数据业务而设计的,是一种新型的MAC协议,可运行于SONET/SDH、DWDM和以太网之上,为宽带IP城域网运营商提供灵活高效的组网方案。
缩略语:
缩略语
英文全名
中文解释
RPR
Resilient Packet Ring
弹性分组环
目 录
1 概述
2 特性介绍
2.1 术语
2.1.1 Span
2.1.2 Edge
2.1.3 Wrap
2.1.4 Steer
2.1.5 Host
2.1.6 选环表
2.2 协议处理机制
2.2.1 节点数据操作
2.2.2 高效带宽利用
2.2.3 拓扑自动发现
2.2.4 拓扑保护故障自愈
2.2.5 公平性算法
2.2.6 QOS保证
2.2.7 其他
2.3 RPR帧结构
3 H3C S9500 RPR特色介绍
3.1 超强的业务倒换能力
3.2 完全的QOS能力
3.3 丰富的选环机制
3.4 兼容以太网保护机制
3.5 完备的时钟方案
3.6 配置简单
4 典型组网应用
4.1 三层应用
4.2 二层应用
[ad#ad_article_1]
络明网络的RPR解决方案
sites地址:http://google.ghitr.com/network/rpr-jie-jue-fang-an
1、解析RPR技术
1.1 RPR技术的特点
弹性分组环(RPR)技术是一种在环形结构上优化数据业务传送的新型MAC层协议,能够适应多种物理层(如SDH、以太网、DWDM等),可有效地传送数据、话音、图像等多种业务类型。它融合了以太网技术的经济性、灵活性、可扩展性等特点,同时吸收了SDH环网的50ms快速保护的优点,并具有网络拓扑自动发现、环路带宽共享、公平分配、严格的业务分类(COS)等技术优势,目标是在不降低网络性能和可靠性的前提下提供更加经济有效的城域网解决方案。RPR技术的主要特点可归纳如下:
采用双环(内环和外环)结构:每对节点之间都有两条路径,保证了高可用性;对环路带宽采用空间重用机制,单播数据传送可在环的不同部分同时进行,提高了环路带宽的利用率;
支持50ms的快速保护:RPR环网可采用两种保护机制,一种是源路由方式(Steering),即直接在业务的源点进行倒换,可保证业务走最佳路径;一种是在发生故障的两个节点进行环回(Wrapping)的方式(类似于SDH的2纤MS-SPRing);RPR标准已把源路由方式规范为默认的保护方式;源路由环保护倒换和SDH的复用段保护和DPT的环保护不同,RPR源路由环保护倒换机制如下,如图所示:
具有网络拓扑结构的自动发现和更新功能:在网络拓扑变化时,每个节点通过接收RPR环上其它节点的MAC地址,自动建立和更新自己的拓扑图,使得网络初始化配置变得极其简单,实现了即插即用,并可避免手工配置带来的错误,便于进行网络的运营维护;
实现灵活的环路带宽管理:这是RPR技术的一个重要特点,它支持灵活的带宽颗粒、带宽的动态共享和分配。每个节点能够维护通过自身的业务负荷(包括本地上环和过环业务量),网管可根据这些信息来统计RPR环路各个跨段上的资源使用情况,实现环路带宽的灵活、动态管理;
提供严格的COS分类:RPR规范了A、B、C三种业务等级,提供了可靠的保障高优先级业务的机制。A类业务优先级最高,可保证最短的端到端时延和时延抖动,A类业务可被分配一个CIR速率,其中可细分成A0(保留带宽)和A1(可回收带宽);B类业务被分配一个CIR速率,对于超过CIR的流量被标记为EIR流量,EIR流量应与C类业务一起参加带宽公平算法;C类业务即提供尽力而为的业务,优先级最低;
支持环路带宽的公平分配:RPR规范了一种分布式的公平控制算法来实现各节点带宽的动态公平分配,并可根据需求为环上的各节点分配不同的权重,在环路带宽发生拥塞时,保证各节点高优先级业务的传送,并实现低优先级业务的公平接入和带宽分配,B类业务的EIR部分和C类业务参与公平算法。实现完善的公平机制,非常有利于RPR环路快速响应具有突发性的数据流量变化;
支持单播、组播和广播:可将基于IEEE802.3MAC地址的单播、组播和广播数据包映射到节点的RPR/MAC地址,实现在RPR环路上根据节点的RPR/MAC地址完成单播、组播和广播数据业务的传送。
1.2 RPR在城域传送网中的应用
由于通信网络运营商的竞争重点已经从骨干网转向了城域网,建立高效经济的支持多业务的城域传送网已成为各大运营商的共同目标。鉴于RPR技术具有众多优势,近年来许多国内外传输设备厂家都在其MSTP设备上开发内嵌RPR功能,于是RPR技术逐渐走进城域传送网领域,并成为热点之一。
目前,RPR技术在城域传送网中的应用方式可分为两种,即基于SDH的内嵌RPR的MSTP设备和基于分组传送技术的RPR设备,业内也通常称其为内嵌RPR的MSTP设备和纯RPR设备。从网络应用范围来看,内嵌RPR的MSTP适用于建设以TDM业务为主数据业务为辅的传统运营商网络,以及在兼容现有SDH网络的前提下提供数据业务传送能力的网络升级改造;而纯RPR设备适用于建设以提供数据分组业务为主的运营商网络,特别是一开始就以新兴数据业务为主导的网络。
1.3 RPR技术局限性
但RPR技术也有其应用的局限性,由于IEEE802.17规范的是专为单个物理环或逻辑环(跨多个SDH物理环的VC通道构成)而设计的RPR/MAC层技术,因此RPR的应用仅局限在单环,跨环时必须终结,即无法实现跨环业务的端到端带宽共享、公平机制、QOS和保护功能。所以,单纯内嵌RPR的SDH/MSTP在组建复杂网络时有一定的拓扑局限性,需要融合其它技术来提供端到端的以太网业务,因此在组建相切环、相交环、环带链、网状网等复杂的网络拓扑时,则需要融合其它技术,如多协议标签交换(MPLS)、IEEE正在制定的802.1ad“运营商桥接(Provider Bridge)”,IEEE802.17工作组也刚开始起草802.17a“补充IEEE802.1D的RPR的MAC桥接”等,以此来实现端到端的VPN业务和QOS保证。
2、PacketWave TM系列RPR产品
络明网络(LuminousNetworks)的RPR解决方案是将RPR技术、MPLS技术、时钟同步技术、CWDM技术和电视视频广播技术结合在一起而提供的面向IP优化,并同时支持TDM业务的宽带多业务解决方案。解决了在组建相切环、相交环、环带链、网状网等复杂的网络拓扑时,实现跨环业务的端到端带宽共享、公平机制、QOS和保护功能的问题。
传统的IP网核心采用POS技术,汇聚和接入采用GbE直联,这种组网模式随着DSL业务的飞速发展,已经出现了很多问题,比如骨干层POS/ATM互连成本昂贵,光纤资源浪费严重,网络交换性能低下、自愈性差,重复建设等。造成这些问题的原因在于,在城域内缺少一个针对数据业务的传输层。而具有与SDH相媲美的光层OAM功能和环路保护功能的RPR技术可以很好地满足数据业务传送的需求。在经过优化的城域网中,各种基于分组技术提供业务的业务网,如Internet网、企业数据专线网、NGN、视频会议网等,都可通过基于分组的MSTP层面进行传送。这个层面将主要采用RPR技术和MPLS技术。RPR层面和SDH层面一样,仅占用2根光纤,RPR层面可以直接运行在裸光纤上,也可以利用SDH网剩余的带宽资源。
Luminous公司充分遵守802.17标准,研发了PacketWave TM系列RPR产品,产品基于IEEE 802.17 RPR协议提供统计复用功能,无缝支持MPLS交换。具有严格延时和抖动保障机制、网络同步机制。
PacketWave TMM系列、C系列、E系列都可在城域网内提供宽带以太网专线服务(EPL)、以太网汇聚服务(ELA)、透明以太网服务(TLS)、MPLS VPN等。PacketWave TM同时支持VLAN、OSPF、BGP、IS-IS等协议,提供大量的以太网端口,有效支持具有突发性的IP业务。
2.1 以太网专线服务EPL
在RPR网络里,可以提供点到点以太网专线。EPL对用户的以太网帧不进行任何处理,在封装RPR帧头后进行透明传送,并在对端去掉RPR帧头。RPR帧头中的MPLS标签作为EPL在环路上的唯一标识,并通过COS为设定服务质量等级。EPL可跨越多环,一种方式是通过单节点跨多环的方式,一种方式是通过千兆连接。当采用第2种方式时,在千兆端口上,先剥离RPR帧头,千兆链路上通过MPLS标签或者VLAN标签标识每个EPL业务,在对端重新进行RPR帧封装并在另一个环路上传送,当到达出口节点时拆除RPR封装。
以太网专线服务EPL
EPL可通过LMS图像界面点击配置,或者通过CLI进行配置。
EPL配置的原则包括:
1、可在任意10/100M,100M、GbE端口间配置此服务;
2、网络可同时配置的EPL数目没有任何限制(理论最大值为MPLS标签数目);
3、EPL专线名称;
4、以太网端口可进行入口方向速率限制,速率限制原则如下:
端口速率范围(Kb/s) 增长步长(Kb/s)
64-2048 64
2000-10000 250
10000-100000 500
100000-1000000 500
5、可在以太网口上选择工作模式、是否开启端口告警信息、以太网MTU值大小;
6、对EPL专线可配置EF、AF、BE等服务等级;
7、对EPL可设置承诺速率和突发速率,速率配置如下:
EPL专线速率范围(Kb/s) 增长步长(Kb/s)
64-2048 64
2000-10000 250
10000-100000 500
100000-1000000 500
8、选择EPL专线是否需要环保护功能和环路传送方向(东、西、按环路开销自动选择)。
由于RPR环路具有统计复用功能,因此PacketWave可以保证所有EPL专线都可突发到端口物理速率。
2.2 以太网汇聚服务ELA
ELA服务基于以太网端口上的子端口提供。PacketWave可以在每个子端口上设置VLAN ID,并将VLAN ID和RPR帧头中的MPLS标签相对应,在RPR环路上,则对每个子端口提供服务策略。多个VLAN通道可以汇聚在一个以太口上。例如上图中,VLAN11到13汇聚到MPLS VPN路由器上,VLAN1到3汇聚到Internet交换机上。
ELA服务的原则是:
1、可在任意10/100M、GbE端口间配置ELA服务;
2、任意10/100M、GbE端口都可作为汇聚点;
3、 每个10/100M端口支持512个子端口(VLAN);
4、可对每个VLAN点到点通道设置服务等级,包括EF、AF4、AF1、BE;
5、可对每个VLAN点到点通道设置带宽,包括承诺带宽和突发带宽,设置原则如下:
VLAN通道速率范围(Kb/s) 增长步长(Kb/s)
64-2048 64
2000-10000 250
10000-100000 500
100000-1000000 500
可对每个子端口上的VLAN ID进行更改;
可对子端口上的以太网数据根据需要增加VLAN ID。
2.3 透明以太网服务TLS
透明以太网服务TLS
TLS服务使运营商能为其用户在广域范围内基于子端口/物理端口建立起一个虚拟以太网环境。对用户而言,所有端点如同连接到一根以太网线一样。如图所示,在RPR环路上,为A和B各建立一个TLS域,则可以实现A用户的4个点之间、B用户3个点之间任意交换。TLS服务具有低成本特性,
在提供TLS服务时,用户端只要配置普通的以太网交换机即可。TLS服务是BGP MPLS VPN和ATM/FR专线服务的一个很好的替代方案。
TLS服务的配置原则如下:
1、可在任意10/100M、GbE物理端口或子端口上提供服务;
2、 每个RPR环可支持4096个TLS域;
3、每个TLS域可支持4096个VLAN;
4、对属于TLS域内的以太网口(物理端口或子端口)可进行入口速率限制,速率限制的原则如下:
端口速率范围(Kb/s) 增长步长(Kb/s)
64-2048 64
2000-10000 250
10000-100000 500
100000-1000000 500
在RPR网络上提供TLS服务具有很好的安全性,主要在于采用MPLS LDP进行MAC地址学习和数据业务交换。
3、RPR技术应用前景展望
网络结构趋于简便实用的特性以及用户对数据业务需求的不断增加使弹性分组环(RPR)技术有望迎来春天。世界著名电信杂志Lightreading在评论2002年十大热点电信技术时认为,随着基于IP应用的迅速发展,承载网络的概念逐渐从传统的时分复用网络向能提供TDM业务和分组业务的新型承载网过渡。RPR技术正是为了适应这种变化应运而生的,并与NGN、3G移动通信并列为电信网络发展的主要方向。
弹性分组环RPR技术经过3年的发展,现在已逐步进入成熟发展期。今年6月底,RPR标准被IEEE802.17正式确立为国际标准,而中国通信标准化协会也正在制定RPR的相关标准,这为大规模生产支持RPR协议的芯片和RPR的大规模应用奠定了基础。
目前,已经有AT&T、NTTEastBBN、Qwest、BellCanada、Cox Communications等电信运营商,广电运营商以及日本全国高速公路系统,美国电力企业网等网络采用了RPR技术,在中国,上海网通拥有全国最大的RPR网络。Infonetics Research发布的《城域光以太网投资报告》中显示,有超过60%的运营商将会在城域网中选用RPR技术建设网络。随着RPR技术应用前景的逐渐被认知,2004~2005年是众多设备厂商开发支持RPR设备、众多运营商和专网用户考虑采纳RPR技术进行大规模网络建设的时期,而成熟的RPR设备市场将在2006年中形成。
交换机 背板带宽的一些说明
背板带宽,是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。一台交换机的背板带宽越高,所能处理数据的能力就越强,但同时设计成本也会上去。
但是,我们如何去考察一个交换机的背板带宽是否够用呢?显然,通过估算的方法是没有用的,我认为应该从两个方面来考虑:
1、)所有端口容量X端口数量之和的2倍应该小于背板带宽,可实现全双工无阻塞交换,证明交换机具有发挥最大数据交换性能的条件。
2、)满配置吞吐量(Mbps)=满配置GE端口数×1.488Mpps其中1个千兆端口在包长为64字节时的理论吞吐量为1.488Mpps。例如,一台最多可以提供64个千兆端口的交换机,其满配置吞吐量应达到 64×1.488Mpps = 95.2Mpps,才能够确保在所有端口均线速工作时,提供无阻塞的包交换。如果一台交换机最多能够提供176个千兆端口,而宣称的吞吐量为不到261.8Mpps(176 x 1.488Mpps = 261.8),那么用户有理由认为该交换机采用的是有阻塞的结构设计。
一般是两者都满足的交换机才是合格的交换机。
背板相对大,吞吐量相对小的交换机,除了保留了升级扩展的能力外就是软件效率/专用芯片电路设计有问题;背板相对小。吞吐量相对大的交换机,整体性能比较高。不过背板带宽是可以相信厂家的宣传的,可吞吐量是无法相信厂家的宣传的,因为后者是个设计值,测试很困难的并且意义不是很大。
我自己
